TrustPort Certification Authority 1 Základní vlastnosti certifikační

Transkript

TrustPort Certification Authority
AEC, spol. s r.o.
Výraz Public Key Infrastructure (PKI), volně přeloženo, si můžeme vyložit jako „správu veřejných klíčů“.
Systém PKI si lze zjednodušeně představit jako databázi veřejných klíčů (certifikátů), která je vybavena řadou
dalších nástrojů pro jejich efektivní správu. Tento systém zahrnuje jak digitální certifikáty, které představují
záruku identity v elektronickém prostředí (např. na internetu), a aplikace v nichž je lze využít, tak i certifikační
a registrační autority (poskytovatelé certifikačních služeb).
V oblasti realizace PKI dosud nebyl stanoven žádný závazný standard, ovšem některé jeho části normování
podléhají. Realizace jednotlivých existujících systémů vychází z konkrétních potřeb uživatelů a případných
dílčích norem a doporučení. Je mnoho způsobů a prostředků, s jejichž pomocí lze budovat účinný systém PKI.
Jedním z nich jsou řešení dodávaná společností AEC.
Tato studie popisuje základní vlastnosti AEC PKI Solution, které představuje komplexní modulární systém
postavený na základě dlouholetých zkušeností v oblasti kryptografie a implementace elektronického (digitálního) podpisu do praxe. Řešení se skládá ze tří základních prvků:
•
PKI Software Development Kit (PKI SDK);
•
TrustPort Certification Authority & Registration Authority (TP CA&RA);
•
TimeStamp Authority (TSA).
PKI SDK představuje základní technologický nástroj, který slouží k vývoji nových nebo úpravě existujících
aplikací postavených na bázi AEC PKI SDK. V podstatě je složen z několika statických a dynamických
knihoven, které představují kompletní sadu modulů potřebných pro vytvořeních moderních PKI aplikací.
TP CA&RA vychází z modulární struktury AEC PKI. Zjednodušeně řečeno představuje systém tzv. „on-line
CA“, který zajišťuje zpracování dodané žádosti o certifikát, vystavení samotného certifikátu (podepsání
veřejného klíče) a CRL (Certificate Revocation List) - seznamu odvolaných certifikátů. Samotná certifikační
autorita (CA) je doplněna o tzv. registrační autoritu (RA), jmenný server a LDAP server. Pomocí těchto nástrojů
se přijímají a kontrolují žádosti o certifikáty a zveřejňují databáze vydaných certifikátů a CRL.
TSA je volitelný modul, kterým můžeme doplnit řešení certifikační autority (on-line CA). Zajišťuje vydávání
tzv. časových razítek, která představují ověření času, kdy došlo k určité události – vystavení certifikátu, vytvoření digitálního podpisu apod.
1 Základní vlastnosti certifikační autority
Certifikační autorita (CA) jako důvěryhodná třetí strana spojuje veřejný klíč s uživatelem a ozřejmuje autenticitu
uživatele. CA vydává na základě obdržené žádosti uživatele jeho digitální certifikát.Význam CA spočívá
především v její důvěryhodnosti.
Samotná certifikační autorita dále využívá služeb registrační autority, která pro ni zpracovává žádosti o vydání
certifikátů a slouží pro komunikaci se žadateli. Existují různé úrovně digitálních certifikátů, od prakticky nulové
důvěryhodnosti self-signed certifikátu až po certifikáty ověřené certifikační autoritou, kde je tato zajištěna
hardwarovými a softwarovými prostředky a zdokumentovanými postupy používanými při vydávání digitálních
certifikátů.
Certifikační autorita podepisuje a vydává certifikáty, odvolává je v případě potřeby a podepisuje a vydává CRL
(Certificate Revocation List). Registrační autorita (RA) přijímá žádosti o certifikáty od uživatelů, zpracovává je
a předává CA ke zpracování (podepsání) a evidenci certifikátů. Ručí za správnost obsahu žádostí ve smyslu
ověření identifikace žadatelů a jednoznačnosti vydaného certifikátu.
Name Server (NS) slouží k přidělování DN (Distinguish Name), a tím také k vyloučení duplicity DN při
zpracovávání žádostí o certifikáty. LDAP server slouží k vyhledávání platných a odvolaných certifikátů. Tuto
službu je možné realizovat také pomocí web rozhraní. Součástí řešení je také auditní systém a rovněž archivace,
Security and Protection of Information 2003
221
tj. uchovávání certifikátů s ukončenou platností. Skládají se z části ze zabudovaných softwarových prostředků,
z části z politiky a administrativních opatření v místě klienta.
Dokumentační základna – zahrnuje popisy procesů a činností prováděných v rámci celé struktury CA.
Základními dokumenty jsou CPS (Certification Practice Statement) a CP (Certification Policy).
Celé řešení je modulární, strukturované a opírá se o využití mezinárodních norem, není však neměnné a je
možno jej v průběhu času přizpůsobovat měnícím se potřebám zákazníka díky modulární koncepci tohoto
systému.
1.1
Služba zřízení CA
Zřízení certifikační autority spolu s registrační autoritou představuje komplexní dodávku produktů a služeb
včetně zajištění podpory a rozvoje, jmenovitě: dodávku software, jeho implementaci, dodávku organizačních
a prováděcích předpisů a jejich zavedení, vyškolení odborných pracovníků.
2 Řešení TrustPort CA
Řešení certifikační autority TrustPort vychází z modulární stavby AEC PKI. Celý komplex je složen z několika
klíčových modulů. Jádrem systému je „on-line CA“ server, který zabezpečuje fyzické zpracování (podepisování)
žádostí o certifikát (certificate requests), CRL nebo vydání časové značky. Jeden server „on-line CA“ může
hostovat několik nezávislých virtuálních certifikačních autorit (podepisovacích strojů), které jsou procesně zcela
izolovány a mají i své vlastní PKI úložiště. Každý virtuální stroj může být nakonfigurován individuálně. Výběr
podpisového klíče může být prováděn v závislosti na algoritmu a/nebo použití veřejného klíče ze žádosti
o vydání certifikátu. Další omezení mohou být nastavena pomocí tzv. filtrů, které omezují vytvoření určitých
položek (např. rozšíření o další údaje) v certifikátech nebo CRL.
Klíčové páry jednotlivých virtuálních certifikačních autorit jsou spravovány pomocí modulu PKI Storage
Manager. Vlastní klíče mohou být uloženy jak v lokálních úložištích na pevném disku, tak i v externích
hardwarových zařízeních (jako jsou USB tokeny nebo čipové karty).
Řešení je doplněno o tzv. RA-CA server, který obsahuje databázi sloužící jako úložiště žádostí o certifikáty
(requests), modifikací, vydaných certifikátů, CRL a jmenný server. Jedná se o webový server s aplikační logikou
pro autentizaci RA úředníků, administraci a práci s webovými stránkami registrační autority. Výhodou tohoto
řešení je mobilita jednotlivých pracovišť registrační autority. V podstatě není vyžadován žádný speciální
klientský SW a řešení vystačí s webovým prohlížečem podporujícím SSL/TSL.
Rozhraní RA/CA lze jednoduše přizpůsobit podle individuálního přání zákazníka. To je umožněno díky použité
technologii AEC Forms, která dovoluje měnit grafické rozhraní a zobrazované položky bez zásahu do programového kódu aplikační logiky.
Certifikáty jsou standardně přístupny pomocí webového rozhraní s vyhledávací službou. Další možnost přístupu
do databáze vydaných certifikátů je pomocí adresářových služeb protokolu LDAP. Jde o speciální AEC LDAP
bránu (gateway), která zprostředkovává dotazy LDAP klientů a převádí je na vyhledávací dotazy v databázovém
úložišti certifikátů.
Jak již bylo uvedeno, několik RA-CA (virtuálních certifikačních autorit) se může odvolávat na jedinou „on-line
CA“, kde jsou pro ně vytvořeny samostatné virtuální podepisovací stroje. Volná kapacita podepisovacího stroje
tak může být využita pro různé další subjekty, které již pak hostují pouze databázový server (úložiště certifikátů)
a registrační autoritu.
Normovaný formát dat:
akceptované žádosti o certifikát : PKCS#10
certifikáty, CRL:
222
X.509, ver.3.
V případě, kdy je PKI klient schopen do žádosti o vystavení certifikátu zadat pouze omezenou množinu položek
vyžadovaných provozovatelem, lze tyto údaje dynamicky doplňovat přímo na registrační autoritě. Lze potom
bez problému vydávat certifikáty, které jsou v souladu s formátem X.509, RFC 2459, popřípadě i kvalifikované
certifikáty podle RFC 3039.
3 TimeStamp Authority
TSA je volitelný modul pro „on-line CA“ server. Opět může běžet na jednom on-line CA serveru několik
podepisovacích TSA strojů s izolovaným PKI. Této vlastnosti lze využít v tzv. „corporate“ instalaci společně
s CA. Pro menší a střední firmy, které nechtějí provozovat RA/CA, mohou instalovat TSA v „stand-alone“
módu.
Součástí TSA je i TimeServer (TS), který kromě dalších funkcí také dodává přesný čas a zjišťuje případné
odchylky od času systémového. TimeServer může získávat přesný čas ze zařízení GPS (Global Positioning
System), které ze satelitů přijímá mimo jiné i časové věty. Další možností je pak signál DCF šířený z vysílače
DCF77 v Mainflingenu na dlouhých vlnách s kmitočtem 77,5 kHz. Dosah vysílače je zhruba 2000 km. Pokud
provozovateli nevyhovuje ani jeden z těchto způsobů, může spustit TimeServer s tzv. validací RTC systémových
hodin, přičemž musí zabezpečit jejich synchronizaci jiným způsobem. Řešení TSA vychází z RFC 3161
a doporučení ETSI (European Telecommunications Standards Institute).
Spojení potřebné pro komunikaci mezi klientem TS a TSA je vytvářeno pomocí protokolu HTTP. Na cestě mezi
klientem a „on-line CA“ je zařazena speciální HTTP brána (gateway), která filtruje a formálně kontroluje
žádosti o časová razítka a zajišťuje, aby se do „on-line CA“ dostávaly pouze „správné“ žádosti a nedocházelo ke
zbytečnému zatěžování podepisovacího stroje. Mezi další výhody použití této brány patří i kontrola stavu
a indikace nefungující „on-line CA“ apod.
TSA musí vydávat svá časová razítka podle zveřejněné politiky. Identifikátor politiky (OID) lze pro každou
TSA individuálně nastavit. Jako klientskou aplikaci lze využít např. TrustMail, jinou aplikaci vytvořenou
pomocí AEC PKI SDK nebo některou další vycházející z uvedené normy.
223
224
Cisco Systems a IPv6
Jaroslav Martan, Systems Engineer, Cisco Systems
Cisco Systems (Czech Republic) s.r.o.
V Celnici 10, Praha 1, 117 21
1 Internet nové generace
IPv6 je základem Internetu nové generace. Těžko se ale dočkáme toho, že budou internety dva – starý založený
na IPv4 a nový na IPv6. Jak je vidět z dosavadního vývoje 6Bone (http://www.6bone.net) a dalších projektů,
IPv6 se postupně stane součástí stávajího Internetu a to tak, že některé jeho části budou současně podporovat
oba protokoly, některé zůstanou pouze na IPv4 a ty, u kterých to jinak nepůjde, budou založené pouze na IPv6.
Při vývoji IPv6 byl kladen důraz na postupnou migraci a vzájemnou komunikaci s IPv4.
Existuje tedy několik metod od současné práce s oběma protokoly na koncovém počítači (a automatické volby
podle toho, jakým chce komunikovat druhá strana) přes tunelování jednoho protokolu v druhém (IPv6 v IPv4
i naopak) po překlad mezi protokoly uvnitř sítě (tzv. NAT-PT – Network Address Translation – Protocol
Translation).
Těžko říct, zda je pro úspěch IPv6 důležitější stabilní podpora protokolu v operačních systémech a aplikacích
(podstatné je uvědomit si, že samotná podpora v operačním systému ještě neznamená automatické fungování
všech aplikací nad IPv6) nebo v síťových prvcích, tj. především ve směrovačích a firewallech. Nejdůležitější ale
asi bude, zda se najdou sítě, které se bez IPv6 skutečně neobejdou. V IPv4 se postupně podařilo vyřešit hlavní
problémy, kvůli kterým původně došlo k vývoji IPv6 – nedostatek adres byl celkem uspokojivě vyřešen pomocí
překladu adres (NAT – Network Address Translation), šifrování pomocí IPSec, mobilita funguje i na IPv4. Dnes
to vypadá, že se bez IPv6 neobejdou především mobilní sítě třetí generace, tzv. UMTS, a zařízení, kterých může
Naprostá většina Internetu a podnikových sítí je vybudována na směrovačích Cisco Systems, tento výrobce
proto věnuje podpoře IPv6 velkou pozornost:
•
aktivně se podílí na vývoji standardu v rámci IETF (http://playground.sun.com/pub/ipng/html/),
•
je zakládajícím členem IPv6 fóra (http://www.ipv6forum.org),
•
podporuje řadu projektů, které se snaží uvést IPv6 do běžné praxe (v rámci EU se jedná např. o 6Net http://www.6net.org) a spolupracuje s akademickou komunitou (v rámci ČR je to Cesnet) a mobilními
operátory, pro které je podpora IPv6 důležitá především pro sítě třetí generace.
Již několik let byla volně k dispozici testovací verze operačního systému IOS (Internetwork Operating System)
a od verze 12.2T je IPv6 oficiálně podporován v rámci tzv. “Plus” vlastností. Samotná implementace funkcí je
rozdělena do tří fází, momentálně jsou hotové první dvě, třetí bude dokončena postupně v první polovině roku
2003. Asi nemá smysl rozebírat jednotlivé funkce, podstatné je, že podpora IPv6 jde bez rodílu celou řadou
směrovačů Cisco od nejmenších řady 1600 po výkonné páteřní prvky 12000 GSR. Podporovány jsou běžné
směrovací protokoly, filtrace i doplňující funkce jako je tunelování, přenos přes MPLS nebo překlad mezi
oběma protokoly.
Více informací o implementaci a aktivitách Cisco Systems v oblasti IPv6 najdete na adrese
http://www.cisco.com/ipv6.
225
2 Síťové produkty od firmy Cisco Systems
Výstavba datových sítí je poměrně široká problematika a stejně tak je široká i nabídka jednotlivých produktů
firmy Cisco Systems. Společnost se zabývá vývojem, výrobou a prodejem produktů a řešení mimo jiné i v následujících oblastech:
•
Směrovače pro všechny možnosti nasazení. Od nejmenších modelů, určených pro domácí použití
(typicky pro připojení k síti Internet), přes modely pro podnikové WAN sítě, až po vysoce výkonné
směrovače používané právě v páteři Internetu.
Obrázek 1. Řada Cisco 7200, 3700, 2600, 1700
•
LAN přepínače pro nejrůznější použití. Pro menší sítě v provedení s pevnou konfigurací, pro velké sítě
jako modulární šasi. V závislosti podle modelu a použité konfigurace mohou pracovat na 2. až 7. vrstvě
OSI modelu.
Obrázek 2. Cisco Catalyst 4500
226
•
IP telefonie a přenos hlasu IP protokolem. Jedná se o perspektivní, rozvíjející se technologii sjednocující infrastrukturu pro přenos hlasu a dat. Spojení těchto dvou typů komunikačních kanálů dává
vzniknout novým aplikacím, například Kontaktním centrům. Centrům pro jednotnou obsluhu
zákazníků prostřednictvím hlasových i datových způsobů komunikace.
Obrázek 3. Cisco IP telefony 7960, 7910, 7940 (7960 na obrázku)
•
Řešení pro bezpečnost sítí. Týká se zejména produktové řady firewallů a firewallových funkcí ve
směrovačích, systémů pro detekci napadení sítě (Intrusion Detection System) a zařízení pro vytváření
virtuálních privátních sítí (VPN) na bázi zabezpečení IPSec pro propojení vzdálených lokalit nebo
i vzdálený přístup jednotlivých uživatelů.
•
Bezdrátové sítě. Technologie pro připojení koncových stanic do LAN sítě s umožněním jejich snadné
mobility a propojování jednotlivých LAN sítí navzájem. Kvůli neomezenému šíření radiového signálu
jsou nedílnou součástí vysoce propracované mechanismy zabezpečení komunikace.
Obrázek 4. Cisco Aironet 1200
•
Oblast optických sítí se týká zejména systémů multiplexu signálů různých vlnových délek (Dense
Wave Division Multiplex) pro zvýšení kapacity přenosových tras a propojování zařízení pro hromadné
ukládání dat.
•
Pro Storage Area Network jsou k dispozici FibreChannel přepínače i technologie pro propojování
SAN sítí a připojování SCSI zařízení pomocí IP protokolu.
•
Content Networking se zabývá problematikou distribuce velkých datových souborů s minimálním
vlivem na provoz sítě a jejich poskytování uživateli s co nejmenší časovou prodlevou. Současně řeší
i problematiku budování datových center, zejména inteligentní rozkládání zátěže mezi servery.
•
Distribuce videa po IP protokolu, ať již v reálném čase, nebo přehrávání z archívu (Video on
Demand). Součástí jsou i zařízení pro vytváření videokonferencí.
227
228
Security Management „enVision“ firmy Network Inteligence
Petr Růžička
[email protected]
CORE COMPUTER, spol. s r.o.
Olbrachtova 3, 140 00 Praha 4
Každý, kdo se již snažil zjistit, co přesně se děje na jeho firewallu, se určitě setkal s problematikou zpracování
logů. Logy jsou nejčastěji zasílány na externí stroj (nechceme aby se firewall zahltil vlastními logy, popř.
Přepsal v rámci „sebeobrany“ starší záznamy), kde jsou shromažďovány, archivovány a pokud možno
kontrolovány.
V případě firewallu je nutné jej nejen správně nakonfigurovat, ale také ho mít pod neustálou kontrolou, a to
v reálném čase. Kromě reportování a analýz potřebujeme zjistit například, zda určitá IP adresa nezkusila včera
otevřít další port na našem serveru.
Praxe ukazuje, že řada firem sice události loguje, nicméně z praktických důvodů již není v lidských silách tyto
logy analyzovat. Vždyť například jeden Cisco PIX firewall na 10Base-T je schopen generovat až 1125 událostí
za vteřinu!
Obecně tedy potřebujeme:
•
zaznamenat událost – příjem i z více zařízení. Důležitý je výkon, tj. kolik zpráv je systém schopen
přijmout (tzv. EPS, Events Per Second). Téměř celý počítačový svět používá pro logování syslog
založený na protokolu UDP (nepotvrzovaný způsob). Pokud by byl logovací systém přetížen, událost se
ztratí.
•
zpracovat událost – ta je poté uložena do databáze pro další analýzy. Potřebná je korelace např. mezi
tím, co zaznamenal hraniční router, firewall, tři IDS sondy (každá od jiného výrobce), DNS server,
a potom třeba Windows servery.
•
zpřístupnit archivované události – reporty pro management, grafy využívání služeb.
Firma CORE Computer se specializuje jak na oblast managementu sítí, tak i bezpečnosti. Rozšíření portfolia
o vhodný nástroj kategorie Security Managementu byl proto logickým krokem. Při hledání optimálního
produktu jsme našli skutečně vynikající řešení - zpracování security událostí pomocí nástrojů řady „enVision“
firmy Network Intelligence (www.network-intelligence.com).
enVision je dodáván primárně jako appliance, tj. box, který připojíte do sítě, přidělíte mu IP adresu a zadáte
zařízením, aby na něj posílala logy. V závislosti na potřebách jsou jednotlivé boxy dimenzovány ve škále od 500
do 6000 EPS, přičemž tato čísla znamenají nejen přijetí, ale i zpracování události. Pro uživatele, kteří potřebují
vyšší výkon, existuje i řada LS, která je schopna zpracovávat řádově stovky tisíc EPS.
enVision byl od počátku zaměřen na bezpečnost celé řady produktů hlavních hráčů na poli bezpečnosti, síťové
infrastruktury a serverových řešení. Namátkou firewally (PIX, Checkpoint, Netscreen, SonicWall), IDS (Cisco,
IIS Real Secure, Entercept, Snort), zařízení pro VPN, síťové přepínače, Win W2k/XP a další.
PIX firewall na lince 1,5 Mbps je schopen generovat až 150 EPS (cca 23 KB/s, měsíčně 14 GB). To jsou horní
meze, ale systém na ně musíme dimenzovat. A co teprve, když máme 1 firewall, 3 routery, 1 IDS a 4 Windows
servery… Modely enVision appliance, obsahují až 1.2 TB diskového prostoru (v případě LS je kapacita
teoreticky neomezená). Technologie enVision navíc dokáže uchovávat data v poměru 1:0.7 (1 kB logů = 0.7 kB
v databázi).
V databázi je možné vyhledávat a porovnávat, vytvářet reporty, grafy, tabulky a prohlížet je přímo nebo je
exportovat na web server.
enVision obsahuje propracovaný korelační nástroj pracující v reálném čase i zpětně. Můžeme tedy vytvořit např.
definici typu: „pokud firewall zaznamenal odmítnutý paket z neznámé adresy a zároveň do 10 minut naše vnější
IDS zjistilo, že se ta samá neznámá adresa pokusila o výpis zóny z našeho DNS, a během tří hodin IDS zjistilo
útok typu buffer overflow na náš web server a během dvou hodin se na našem Windows serveru objevilo
229
5 pokusů o přihlášení, z toho 4 během 10 vteřin a zároveň se náš router restartoval, tak pošli alert“. Fantazii se
meze nekladou.
Použití archivovaných záznamů nám poslouží nejen pro dokazování útoků, ale i pro doložení bezúhonnosti,
například: „Tato IP adresa, tento konkrétní zaměstnanec udělal v tuto dobu určitou věc.“, nebo „Naše síť se
v tento čas na žádném DoS útoku nepodílela.“
Rostoucí zájem o dodávky systému do finančnictví, státní správy i dalších oblastí kritických na bezpečnost nás
v CORE Computer přesvědčuje, že jsme zvolili správný produkt.)
230
Encryption for all needs
Lars Moldal
Ericsson / Kongsberg Defence Communications AS
1 Introduction
Kongsberg Defence Communications AS (KDC) and Ericsson, s.r.o. provide reliable and secure communication
for high-speed data and voice. Our communication and encryption products are supplied to various governments
and defense forces as well as to NATO and NATO countries. The Crypto department has close to 40 years of
experience in developing, producing and marketing Crypto solutions, in close co-operation with the Norwegian
security authorities.
2 IP encryption for inter LAN communication and stand alone computers
KDC Secure Network Architecture includes the products EnGuard, NX20X0 and the administration system.
These products together offer complete security for business critical information
EnGuard secures communication and storing of sensitive information at home, for the travel office, regional
offices or partners. The NX20X0 secures all types of communication between the local network of companies
and organisations. Together these products cover the need for secure data communication. The architecture can
be scaled to suit all sizes of businesses. Information is secured against insight with full end-to-end encryption.
Digital signatures are used to protect the integrity and authentication of the sender.
2.1
NX20X0 IP encryption unit
NX20X0 provides high security IP-communication between geographically separated local networks (LAN)
over public networks or leased lines. The high performance NX20X0 secures all IP based traffic, and supports
higher level protocols.
2.2
General
The NX2070 unit resides between the local network and existing access routers/modems. All IP traffic from the
LAN towards the access router/modem and WAN is encrypted. The encryption is transparent to the users and all
WAN-type technologies can be used. The NX2070 unit allows for exposing a single address to external
networks, hiding private addresses and in effect providing NAT functionality in addition to securing
confidentiality, integrity and authentication of all traffic. The NX2070 is developed in co-operation with
Norwegian security authorities (NSM).
231
2.3
Functionality
All IP traffic is encrypted according to the IPSec ESP specification. This means that both data and the original
IP header are encrypted, and only the addresses of the NX2070 endpoints are available in plaintext. All other
network information is hidden.
An encrypted checksum is generated for each encrypted datagram. This protects against any attempt to change
the contents of the datagram. Access-control for access to encrypted communication is based on the network
addresses of the sender and the receiver. Authentication of incoming encrypted data is based on cryptographic
methods.
2.4
2.5
Services
•
Encrypts and authenticates all traffic sent on an unsecured network.
•
Transparent network accesses for users (no need for logging on, or password).
•
Excellent for securing IP-telephony.
•
Secures sensitive videoconferences (tested with equipment from leading manufacturers/suppliers).
•
Can be used with all types of access interfaces (ISDN-routers/modems, Frame Relay, FDDI, ATM,
satellite-connections, etc). The unit is not sensitive to delays.
Administration
A powerful administration centre is available for NX2070, offering functionality for key generation,
administration and distribution. In addition, access rules and unit configuration is handled by the management
centre.
Encryption key material, profiles and rules are initially distributed on smartcard and diskette. Later distribution
of information is handled online from the management centre.
3 EnGuard. Security solutions for stationary and portable PCs
EnGuard offers secure storage and communication of sensitive
data. The equipment is aimed at users who require secure handling
of sensitive information from their home office PC, portable PC or
similar installations.
3.1
General
EnGuard provides secure access to vital resources such as e-mail,
Intranet, file-servers and databases while out of office, and at the same time ensures that locally stored
information is protected against theft or unauthorized access.
EnGuard offers encrypted net-access to the office network (Intranet) and to networks of business partners
(extranet). In addition, encryption of all sensitive information stored on the computer hard disk and diskettes,
and encryption and signing of e-mail is offered. The equipment operates both in networks secured with EnGuard
units and in networks secured by a combination of EnGuard and NX 2000 units.
3.2
Approval
EnGuard is developed in co-operation with Norwegian security authorities (NSM) and satisfies governmental
requirements for equipment used to handle RESTRICTED information.
232
3.3
Platform
•
Stationary or portable PC with Windows 2000 operating system and USB-port
•
Compatible with e-mail programs using Microsoft Windows 2000 encryption interface
•
Can be used with all TCP/IP-based network connections
3.4
3.5
Services
•
Secure net access: Accesses all types of network services securely through encrypted TCP/IPcommunication.
•
File/folder encryption: Encryption of single files, all files of a type and complete folders.
•
The user / administrator indicates what is to be encrypted using simple rules. For all other aspects
encryption is transparent.
•
E-mail encryption and authentication: E-mail with or without attachments are encrypted and digital
signatures are attached through the standard interface of the e-mail program.
•
Secure file allocation:
•
Files can be transparently shared on the file server, either as encrypted files, or as plain text files over
an encrypted connection, or a combination of both.
Administration
Encryption key material profiles and rules for distribution on smart cards from an operational centre. Later
electronically from an operational centre, or locally configured. For smaller networks a PC-based key generation
centre can be used. For larger systems combining EnGuard and NX20X0 the Amazin administration system is
used.
3.6
Network architecture
The following drawing shows some different possible network configurations using NX20X0 and/or EnGuard.
LAN
LAN
PSTN
Administration
or
Internet
Home office
Mobile office
Mobile office
4 CAUTOR, Secure Communication System
The system was primarily developed to secure communication between the Ministry of Foreign Affairs and the
respective Embassies and Consulates. The combined on-line/off-line mode of operation facilitates painless
interfacing to any information carrier from Internet to HF-Radio systems.
233
The system is protecting all diplomatic communication between the Ministry of Foreign Affairs and
the respective Embassies and Consulates. In addition
the system is used by other governmental
organizations. Kongsberg Defence Communications
in close cooperation with the Norwegian Chief of
Defense, Security Staff, has developed Cautor. Cautor
has been approved to handle classified information at
all national levels. Cautor can utilize any means of
electronic communication from HF-radio to Satellite
or Internet as the communication carrier.
4.1
General
The Cautor system consists of two main elements. The actual communication system found at all embassies and
in the communication room of the Ministry of Foreign Affairs, this consist of the following subcomponents:
4.2
•
The NORDCODER. The encryption device handling encryption and decryption of all messages.
•
The Red PC. This PC handles all plaintext.
•
The Black PC. This PC is responsible for the communication between the Ministry of Foreign Affairs
and the Embassies and Consulates.
CAUTOR – system overview
The Nordcoder is the special purpose encryption device developed specifically for the Cautor system.
The Nordcoder encrypts all traffic leaving the
Embassy or the Ministry of Foreign Affairs.
Likewise the Nordcoder decrypts all traffic
entering the Embassy or the Ministry of Foreign
Affairs. The Nordcoder forms the barrier
between the secure (Red) side of the system,
handling classified information and black side
of the system handling only encrypted
information.
The encryption algorithm used is the NATO approved EINRIDE or the AES algorithm.
London
MFA Communication HQ
Black PC Nordcoder Red PC
Red PC
Nordcoder
Black PC
Paris
Red PC
Key generation and administration
Rome
Master Key
Generation
Traffic Key
Generation
Nordcoder Black PC
234
The Nordcoder is mainly controlled from the Red PC. The only control functions found on the encryption device
are Power Control and Key and Smart Card Erase. Unencrypted (Red) keys are loaded directly into Nordcoder.
The Nordcoder is connected to the Red and the Black PCs by means of standard fiber optic cable.
The Red PC handles all classified (Red) information. Extensive logging is built into the system. Incoming and
outgoing traffic are logged in the traffic logs. All security relevant incidents are logged in the event log. Three
different categories of users are defined:
•
The Administrator with all rights
•
The Crypto Custodian who can load new key material
•
The User who can only send and receive messages and observes the logs.
Plain text may be entered directly into E-mail like application or in an attachment. Attached files can be of any
type, which the PC is equipped to handle. Specifically the system contains an interface to a standard scanner and
printer and can thus be used as a replacement for secure fax.
The Red PC application contains software that performs loss-less compression of the messages before
encryption, thus saving transmission time.
The Black PC handles the encrypted information. Again extensive logging is built into the system. Incoming
and outgoing encrypted traffic is logged in the traffic logs and all relevant incidents are logged in the event log.
The Black PC application is equipped with an interface towards various E-mail systems. Cautor messages are
then sent automatically from an Embassy to the Ministry of Foreign Affairs or visa versa. As an alternative, any
encrypted Cautor message can be stored in a specific catalog on the Black PC for later transmission and/or
adaption to to selected communication carrier. Visa versa, the Black application automatically picks up any
incoming Cautor message from another specified catalog.
4.3
Key management
To produce the necessary key material Cautor are taking use of the following equipment:
The master key production system is an isolated standalone PC- based system producing the plaintext master
keys needed in the Cautor system. These keys are distributed on smart cards.
The traffic key production system is an on-line PC-based system producing and distributing encrypted traffic
keys.
4.4
Top secret message terminal, PACE
Pace provides rapid and secure message exchange between originator and addressee over unprotected telephone
or radio links
PACE is ruggedized and is suitable for desktop or field use. Battery powered, the unit is self-contained with
keyboard for input and display for output. Connection to a personal computer is also an option.
PACE is SECAN approved up to level ’Top Secret’.
235
236
Místo poradenské firmy při ochraně utajovaných skutečností
Ing. Miroslav Fryšar
F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a.s.
Místo poradenské firmy při ochraně utajovaných skutečností a metodický
význam standardu ochrany utajovaných skutečností pro obecnou
bezpečnost
Na problematiku činnosti poradenských firem v oboru ochrany utajovaných skutečností (dále jen OUS) lze
pohlížet ze dvou pozic (mimo vlastní pohled poradenské firmy), a to z následujících:
1. subjektu, který oblast hodlá nebo musí řešit (ať už začátečníka, či s jistými zkušenostmi);
2. orgánů státní správy, které jsou dohledem nad OUS tzv. „povinovány“.
Pokusme se tedy místo poradenské firmy přiblížit z obou pohledů.
Zájemce o problematiku OUS záhy zjistí, že OUS je v ČR k dnešnímu datu vymezena právní normou, a to
zákonem č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, v současnosti ve
znění 10 novel a jeho prováděcích vyhlášek (8), dvěma nařízeními vlády, bezpečnostními standardy Národního
bezpečnostního úřadu (dále jen NBÚ) objektové (fyzické) bezpečnosti a metodickými pokyny NBÚ na
internetu. Dalšími zdroji informací mohou být více, či méně zdařilé publikace na dané téma a samozřejmě
I praktické zkušenosti, těch, kteří s danou problematikou přišli do styku.
Shromáždění a prostudování zmíněných dokumentů a informací je tedy logickým krokem takového subjektu
a nezbytnou podmínkou pro realizaci záměru, např. záměru statutárního orgánu organizace podat žádost k NBÚ
o vydání potvrzení.
Potud většinou žádný problém nevzniká. Ten se však ohlásí vzápětí, když teprve subjekt začne potřebné
dokumenty tvořit a postupně zjišťovat, že jejich struktura, rozsah a odborná náplň značně převyšuje jeho
současné časové a kvalifikační schopnosti a možnosti. Nabízí se samozřejmě celá řada alternativních řešení
vzniklého problému. Jednou z nich a ne, jak se ze zkušenosti ukazuje, zanedbatelnou, je přizvat na pomoc
někoho, kdo může pomoci. Ten někdo může být firma poradenská v příslušném oboru činnosti.
Smluvní angažování této firmy uvolní zmíněnému subjektu bezesporu ruce k činnostem, jež jsou skutečným
předmětem jeho podnikatelských aktivit. Firma provede analýzu stávajícího stavu OUS u subjektu, přihlédne ke
specifickým podmínkám, navrhne a po odsouhlasení zrealizuje vše, co je třeba, aby věc zdárně proběhla až do
finále. V rámci toho stačí přiměřeně proškolit příslušné osoby, aplikovat do podmínek organizace požadovaný
rozsah jednotlivých prostředků OUS, vypracovat sekundární interní směrnice, vybudovat bezpečnostní vědomí
u zaměstnanců a tím i nemálo přispět k rozšíření úrovně obecné bezpečnosti u organizace. Organizace takto
připravená v rovině zpracování podkladových materiálů nemá zpravidla problémy s komunikací s pracovníky
NBÚ a získání potvrzení je už jen otázkou času.
Samozřejmostí by ale mělo být u takové kooperace, že poradenská firma je sama nositelem potvrzení NBÚ,
disponuje vysoce kvalifikovanými a zkušenými odborníky v oblastech prostředků OUS a je nezávislá na
dodavatelích bezpečnostních služeb a technologií. Je ideální, pokud by ještě měla certifikát systému
managementu jakosti v oblasti poskytovaného bezpečnostního poradenství. Jen těžko lze potom diskutovat
o kvalifikačních předpokladech a dispozicích pro požadované služby.
Že tedy poradenské firmy vznikly a existují, je pouze přirozená reakce trhu na vzniklou situaci, která je navíc
poznamenaná jistou nerovnováhou a diskriminací privátního sektoru v oblasti OUS. Filozofie stávající právní
normy není nakloněna utajovaným skutečnostem v kombinaci s privátním subjektem. Privátní subjekt musí pro
to, aby se mohl jen seznámit s nějakou utajovanou skutečností, vykonat nesrovnatelně více, než orgán státní
správy, event. samosprávy, nehledě na skutečnost, že časový horizont získání tolik potřebného potvrzení od
doby, kdy zahájí činnost k tomu směřující, se pohybuje řádově v rocích bez jakékoliv možnosti tuto, blíže
neohraničenou, lhůtu ovlivnit. Při vědomí této situace není třeba privátnímu subjektu navíc riskovat oddálení
237
vydání potvrzení neúplným zpracováním předkládaných dokumentů, či nedostatečnou implementací
bezpečnostních opatření.
V čem spatřujeme výhody odborné spolupráce s poradenskou firmou:
•
možnost rozhodnutí, které činnosti bude řešit subjekt sám a které zadá poradenské firmě,
•
návrh systému ochrany utajovaných skutečností není závislý na realizačních firmách, tím jsou do
značné míry eliminovány jejich komerční zájmy včetně negativního dopadu do nákladových položek,
•
profesionální posouzení bezpečnostních rizik,
•
eliminace chyb v instalaci technického zabezpečení,
•
nejde pouze o zpracování dokumentů, ale i jejich implementaci do systému organizace (úřadu),
•
úspora nákladů na vlastní zaměstnance při zpracování jednorázových časově náročných úkolů,
•
osoba pověřená statutárním orgánem ochranou utajovaných skutečností není odkázána pouze na vlastní
zkušenosti, ale může čerpat ze zkušeností poradenské firmy a stane se tak postupně uznávaným
odborníkem,
•
možnost ověření funkčnosti systému ochrany utajovaných skutečností nezávislým subjektem s potvrzením NBÚ dle § 62 odst. 1 zákona,
•
zajišťování servisní a auditní činnosti náročné na čas a pracovníky prověřené externím dodavatelem
(dokumentace objektové bezpečnosti, bezpečnost IS),
•
zajišťování školení organizací, která zná problematiku subjektu.
Přestože kooperace poradenské firmy se soukromými subjekty je četnější než s orgány státní správy
a samosprávy, zůstává dosti prostoru i pro efektivní spolupráci s těmito institucemi. Jde především o zpracování
dokumentů v oblasti administrativní, personální, objektové a technické bezpečnosti. Větší prostor se zde rovněž
nabízí v oblasti bezpečnosti informačních systémů, jak nakonec vyplývá i z hlavního tématu konference.
Dokumentaci objektové bezpečnosti, která splňuje veškeré požadavky platné legislativy a zároveň představuje
podrobný návod, jak skutečně účinně využívat opatření objektové bezpečnosti, není schopen zpracovat každý.
Pro dokumentaci důležitých a rozsáhlých objektů to platí dvojnásob, optimální řešení představuje spojení
místních znalostí zaměstnanců objednatele se zkušenostmi specialistů poradenské firmy nebo resortních
specialistů. Pro přehled o rozsahu a požadavcích na zpracování dokumentace Vám může například posloužit
metodika na stránkách NBÚ SR www.nbusr.sk.
U bezpečnostních dokumentací informačních systémů jsou požadavky na úroveň zpracování ještě vyšší
a proces zpracování dokumentace mnohem složitější. V praxi jde o několik verzí dokumentace a etap připomínek NBÚ. Specialisté informační bezpečnosti F.S.C. dokáží aplikovat požadované standardy do textu
dokumentace, ale současně i garantovat fyzickou realizaci nastavení bezpečnostních opatření. Komplexní
dodávku zahrnuje nejen zpracování dokumentace, ale i nastavení bezpečnostních parametrů informačního
systému, školení bezpečnostního správce, uživatelů a zajišťování pravidelného ověřování bezpečnostních
parametrů auditní a servisní činnosti.
Specifickou činností poradenské firmy na poli OUS je provádění externích bezpečnostních auditů třetí stranou,
o jejichž prospěšnosti Vám mohou podat informace klienti společnosti F.S.C. BEZPEČNOSTNÍ
PORADENSTVÍ, a s., u kterých je tento produkt pravidelně realizován.
Pohled na takovou poradenskou firmu z úhlu pozice např. ústředního správního úřadu, který vykonává dohled
nad OUS v tomto státě, může být však i poněkud odlišný. V některých případech slyšíme i názor, že poradenské
firmy dělají za úplatu to, co dělá NBÚ zdarma. Vyskytly se i případy, kdy byly subjekty řešící OUS nabádány
k nedůvěře k poradenským firmám. Zde je na místě především zdůraznit, že ne každý subjekt, který nabízí
zpracování dokumentace k OUS, je poradenskou firmou. A jen velmi málo z nich disponuje potvrzením NBÚ.
Některé pokusy o tzv. poradenství, tak znehodnocují názor na poradenské firmy obecně. Podle našeho názoru
může být poradenská firma, pro NBÚ i systém OUS, v řadě hledisek prospěšná. Například ověřování shody
zpracované dokumentace s realizací opatření OUS před dohlídkou NBÚ má nejen metodický význam pro
klienta, ale rovněž snižuje časovou náročnost na práci pracovníků NBÚ. Obdobný význam mají i námi realizovaná školení v oblasti OUS.
238
V některých zemích NATO poradenské firmy na základě pověření NBÚ zajišťují specializované úkony v oblasti
objektové bezpečnosti, informační bezpečnosti a certifikací bezpečnostních systémů. Z pohledu ochrany
utajovaných skutečností musí být poradenská firma chápána jako kterýkoli jiný subjekt, který je držitelem
platného potvrzení NBÚ v oblasti průmyslové bezpečnosti.
V následující části se zaměříme na zhodnocení metodického významu standardu OUS pro obecnou bezpečnost.
Stručně lze říci, že existence stávajícího právního vymezení OUS v ČR je jednoznačným pozitivem i pro
obecnou bezpečnost.
Důvod je jednoduchý. Neexistence ucelené metodologie pro řešení této oblasti. Pokud bychom rozparcelovali
obecnou bezpečnost, tak se dostaneme k jednotlivým prostředkům a oblastem, ze kterých se skládá a lehce
zjistíme, že k většině z nich nenalezneme žádnou metodiku, způsob zabezpečení, či minimální standard. Před
přijetím zákona č. 148/1998 Sb. existovala vlastně pouze jediná výjimka, a to bezpečnost informačních systémů.
Jistým pokusem zajistit minimální bezpečnostní standard pro oblast technické a objektové bezpečnosti je
existence technických norem pro instalaci, servis a parametry používaných technických prostředků.
Z pohledu znalosti výše popsané skutečnosti je přístup k řešení OUS, popsaný v zákoně č. 148/1998 Sb.
A zejména v jeho prováděcích předpisech a standardech, jednoznačným krokem vřed. To platí dvojnásob
z pohledu metodologického přístupu.
Že takový způsob řešení bezpečnosti je inspirující, dokládá např. nařízení vlády č. 462/2000 Sb., které se zabývá
mj. zvláštními skutečnostmi jako určitými kategoriemi krizového řízení a nejenom, že popisuje obdobné
přístupy, ale dokonce i přímo odkazuje na některé způsoby OUS, tak jak je stanovuje právní norma v jejich
nejnižších klasifikacích.
Zajímavý je v té souvislosti i přístup Úřadu pro ochranu osobních údajů při hodnocení způsobu zabezpečení
osobních údajů u prověřovaných, kdy zpravidla nebývají výhrady k zabezpečení v případech, kdy jsou
k ochraně osobních údajů aplikovány prostředky OUS nejnižší klasifikace.
V neposlední řadě se lze dnes stále více setkávat s aplikací některých prostředků OUS a s jejich uplatněním
v podobné struktuře jako je uvedena právní normě v nejrůznějších prvcích systému obecné bezpečnosti jak
v soukromém tak i ve státním sektoru. Toto je pouze přirozený důsledek situace, kdy neexistuje jiný předpis ani
metodologie pojímající problematiku bezpečnosti obecně přijatelnějšími praktikami a způsoby. Řada organizací
i úřadů státní správy, po zpracování bezpečnostní politiky OUS, přikročila ke zpracování komplexní
bezpečnostní politiky. Je však na místě upozornit, že aplikace standardů OUS do ochrany majetku, osob
a informací má i své negativní stránky. Jde především o to, že objektová bezpečnost OUS vychází z jiných zásad
než klasická ochrana majetku. Mechanická aplikace těchto standardů pak může vést k chybnému návrhu
bezpečnostních opatření. Dále je nutné vzít v úvahu, že požadavky na bezpečnost utajovaných skutečností
představují velmi přísná bezpečnostní opatření s adekvátními náklady na jejich realizaci. Ne vždy však jsou
takové náklady adekvátní skutečným rizikům.
Zákon ani dosavadní dohled nad jeho uplatňováním však doposud neřeší nejpodstatnější součást efektivního
zajišťování bezpečnosti (v tomto případě OUS) a to je analýza rizik. Přitom však není v současnosti
frekventovanějšího sousloví v oboru bezpečnosti.
F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a.s. využívá při analýzách rizik všech dostupných metod
a nástrojů. Kromě toho jsou vyvíjeny vlastní metodiky analýz rizik včetně podpůrného software. Metodiky jsou
zpracovány pro jednotlivé bezpečnostní subsystémy. Na ně navazují bezpečnostní standardy, které jsme schopni
dále přizpůsobit konkrétním podmínkám klienta. Podle obdobných zásad jsou rovněž zpracovány pracovní
postupy pro bezpečnostní audit. Nespornou výhodou uvedení předpisové základny je kromě implementace
legislativy a zkušeností z práce pro nejrůznější orgány státní správy i privátní subjekty, také soulad s normami
ISO. V tomto směru je F.S.C. nejen držitelem platného certifikátu ISO, ale rovněž zajišťuje přípravu na
certifikaci ISO pro další subjekty, včetně orgánů státní správy a samosprávy.
239
240
Network security manager
David C. HÁJÍČEK, konzultant
[email protected]
GiTy, a.s.
Mariánské náměstí 1, Brno
1 Úvod
Motto: „Řiďme, co se děje...“
Význam bezpečnosti není třeba zdůrazňovat. Zajistit bezpečnost ovšem neznamená jen zajistit nepopiratelnost
manipulace s daty, jejich integritu, dostupnost a důvěrnost. Je třeba zaměřit se na další neméně důležitý aspekt,
a sice na bezpečnostní dohled a řízení.
Přirozeně – dokážeme víceméně chránit důvěrnost a integritu dat instalací a vhodnou konfigurací firewallu,
zvýšit pravděpodobnost jejich dostupnosti VPN bránami, nebo garantovat jejich nepopiratelnost pomocí
kryptografie a zaznamenáváním událostí. Umíme také zvýšit dobu jejich dostupnosti záložními zdroji pro případ
výpadku elektrické energie.
Naše snahy o zvýšení bezpečnosti mohou být více nebo méně úspěšné. Uživatelé mohou dodržovat bezpečnostní
politiku, generátory mohou být spolehlivé, VPN brány mohou garantovat dobré připojení, firewally mohou
dokonale filtrovat nebezpečné akce.
2 NSM – dohled bezpečnostních událostí
Přes všechny naše snahy většina incidentů zůstane neidentifikována. Odborníci zpravidla nejsou schopni
procházet gigabyty log souborů tvořených bezpečnostními prvky. Takže nejsou ani schopni je posoudit
a zanalyzovat. A pokud ano, setkáváme se se snahou skrýt je před pozorností vedení společnosti.
Další nepříjemnou komplikací je skutečnost, že bezpečnostní události nebývají správně vyhodnoceny. Například
útočníkovy pokusy obejít pravidla na firewallu mohou být identifikovány, zastaveny a zaznamenány, ale
neohlášeny. NSM sbírá tyto ukládané informace (Syslog, SNMP, SMTP nebo XML) a interpretuje je bezpečnostnímu správci.
NSM dokáže identifikovat a vytvořit vazby mezi událostmi jednotlivých zařízení. Představme si následující
situaci:
2.1
Příklad
Útočník změní data uložená na web serveru. Musí projít přes firewall a získat autorizaci k provedení této
operace. Firewall zaznamená tuto událost (např. mnoho pokusů ze stejné IP adresy na porty našeho web
serveru). IDS síťový senzor vytvoří záznam o podezřelé události. Obě zařízení informují bezpečnostního správce.
Ten však situaci vyhodnotí jako obvyklou (pakliže se vůbec k tomuto kroku dostane), protože neví o souvislosti
mezi jednotlivými události. Nakonec náš web server zaznamená, že byl změněn. Teď už prakticky neexistuje
způsob, jak jednoduše identifikovat a popsat proběhlou událost – vztahy mezi jednotlivými incidenty.
Ve spoustě případů je aktivitám útočníků zamezeno, bez toho, aby byl bezpečnostní správce informován
o proběhlém útoku. Bezpečnostní správce nemůže tedy zareagovat a tím se může stát napříště provedený útok
stejným způsobem, ale s větší intenzitou, úspěšným.
Nepříjemné je také to, že většina důležitých problémů nemá původ venku, tedy u útočníků. V mnoha organizacích je nezanedbatelná část dat ztracena či poškozena během výpadků HW a SW. V těchto případech je
bezpečnostní dohled a správa, tedy NSM, snad ještě důležitější.
241
2.2
Jak pracuje NSM
Kde jsou výhody NSM od společnosti GiTy? V porovnání s jinými nástroji pro bezpečnostní správu (obrázek
č. 1), aktuální situace bezpečnosti v síti zobrazuje dynamicky měnící se graf (obrázek č. 2). Graf se v průběhu
doby mění v závislosti na momentálně probíhajících událostech.
Obrázek 1. Běžné nástroje pro správu bezpečnosti
Znamená to, že bezpečnostní správce nemusí být nutně technickým odborníkem, aby mohl vykonávat dohled
nad bezpečnostní situací. Tímto způsobem můžeme výhodně oddělit roli technického správce od role správce
bezpečnostního. Takto minimalizujeme možnost útoku či chyby ze strany správce.
NSM pracuje v pěti úrovních:
Sběr, konsolidace a korelace.
Během této fáze NSM odhaluje relevantní aktivity a sbírá informace o nich z bezpečnostních zařízení v síti
Normalizace dat.
NSM normalizuje informace z logů zařízení pro kategorizaci známých událostí a poskytuje je ve srozumitelném
jazyce.
Klasifikace a prioritizace akvit.
NSM organizuje a identifikuje bezpečnostní situace v celé síti založené na obchodních prioritách, politikách
a celkové konfiguraci.
Analýza.
NSM analyzuje bezpečnostní události rychle, „rozumí“ bezpečnostním událostem a umožňuje efektivně
reagovat.
Odezva.
NSM reaguje na bezpečnostní situace v odpovídajícím čase použitím existujících bezpečnostní pravidel, nástrojů
a procesů.
242
Obrázek 2. Dynamicky měnící se graf situace v síti
3 Základní rysy NSM
Každá ze zmíněných fází má v řízení bezpečnosti svůj vlastní smysl. K tomu, abychom mohli bezpečnostní
události filtrovat a rozhodovat, které jsou důležité, potřebujeme je mít k dispozici všechny. NSM pro filtrování
událostí a definici podmínek nabízí všechny logické operátory, regulární výrazy a kombinace matematických
modelů. Přesto bezpečnostní administrátor nemusí být matematikem ani programátorem. Přestože je systém
pravidel NSM silný nástroj, je ovládán rovněž prostřednictvím grafického rozhraní (obrázek č. 3).
Obrázek 3. Ovládání NSM
Bezpečnostní správce tak má možnost aplikovat bezpečnostní politiku bez asistence programátora a je rovněž
schopen sám zkontrolovat, zda jsou bezpečnostní pravidla definována správně – v porovnání s bezpečnostní
politikou.
243
Důležitou výhodou NSM je fakt, že může být používán v kombinaci s klasickým systémem pro dohled a řízení
sítě (Spectrum, Tivoli, HP OpenView, atd.). NSM dokáže zasílat zprávy síťovému dohledovému systému
a správce sítě může vytvářet na jejich základě trouble-tickety. NSM může být rovněž zkonfigurován tak, aby
zasílal zprávy obsahující základní informace o události a/nebo jejím řešením odpovědnému řešiteli, například
e-mailem nebo SMS zprávou.
Obrázek 4. Nástroj pro generování zpráv
Samozřejmostí jsou nástroje typu „reporting tool“ či „auto-response“. Použití prvně zmíněného dává bezpečnostnímu správci možnost generovat souhrnná hlášení za určitá období. Bezpečnostní incidenty ukládané
v databázi systému jsou kategorizovány a následně vyhodnoceny, aby mohlo být poskytnuto hlášení zodpovědným řešitelům (obrázek 4).
4 Závěr
Všechny události, resp. informace o nich, jsou ukládány v databázi. Je rozumné ukládat pouze opravdové
bezpečnostní incidenty – není třeba redundantně ukládat informace o běžném provozu. Komunikace s databází
(např. Oracle, MS-SQL) je realizována prostřednictvím ODBC a JDBC.
Ze širokého spektra funkcí, které NSM skýtá, není možné bohužel tímto způsobem prezentovat ani desetina jeho
skutečných možností. Na závěr lze říci jen to, že tento systém je jeden ze směrů ve světě řízení bezpečnosti.
244
Zabezpečení přístupu k utajovaným skutečnostem
IBM Česká Republika, spol. s r.o.
V Parku 2294/4, Praha 4 - Chodov
1 Úvod
Rodina produktů IBM Tivoli Access Manager (dále jenom Access Manager) je komplexní řešení autorizace pro
firemní webové aplikace, aplikace typu klient/server a aplikace přímo popdorované Access Managerem (např.
mySAP.com, …). Autorizace produktu Access Manager dovoluje, aby organizace bezpečně řídila přístup
uživatelů ke chráněným informacím a zdrojům. Vytvoření centralizovaného, flexibilního a přizpůsobitelného
řešení pro řízení přístupu pomocí modulů Access Manager dovolí vybudovat vysoce zabezpečené a dobře
spravované aplikační prostředí.
2 Access Manager – správa a definice přístupu k aplikacím
Access Manager je řešení správy informačních politik, které organizacím nabízí služby zabezpečení centralizované sítě – v takové síti můžete konzistentně implementovat a spravovat bezpečnostní politiku organizace pro
pŕístup k informacím zprostředkovaným aplikacemi.
Access Manager splňuje tři primární podmínky pro vytvářené bezpečnostní řešení:
•
nabízí různé druhy řešení, aby bylo možné vytvořit vysoce zabezpečené síťové prostředí
•
nabízí praktické a intuitivní nástroje správy pro bezpečnou centralizovanou administrativu
•
poskytuje bezpečnostní mechanismy, které nebrání povolené aktivitě klienta v síti
Správa zabezpečení přístupu využívá tyto klíčové technologie:
•
autentizace
•
autorizace
•
úroveň zabezpečení
•
škálovatelnost
•
prokazatelnost přístupu
•
centralizovaná správa
Ve svém jádru produkt Access Manager poskytuje:
•
základní strukturu autentizace
IBM Tivoli Access Manager for eBusiness nabízí řadu zabudovaných autentizátorů a podporuje externí
autentizátory.
•
základní strukturu autorizace
Autorizační služba produktu Tivoli Access Manager, ke které je možné přistupovat prostřednictvím
standardního autorizačního rozhraní API, nabízí pro žádosti o přístup vlastních serverů produktu IBM
Tivoli Access Manager for eBusiness a aplikací třetích stran rozhodnutí povolit nebo odepřít.
Implementací Access Manager-u je možné bezpečně řídit přístup k soukromým interním zdrojům umístěným na
síti a rozšířit přístupnost veřejného Internetu a snadnost použití. Access Manager v kombinaci s firemním
systémem firewallů může úplně chránit celopodnikovou intranetovou síť před neoprávněným přístupem
a narušením.
245
V zabezpečených systémech se rozlišuje autorizace od autentizace.
Autentizace zajišťuje, že jedinec je tím, za koho se prohlašuje, ale neříká nic o jeho schopnosti a možnosti
provádět operace s chráněným zdrojem.
Autorizace určuje, zda má autentizovaný klient právo provádět operaci s určitým zdrojem, který je umístěn
v zabezpečené doméně.
Uživatelé mohou autentizovat svou totožnost buď pomocí veřejného/soukromého klíče, pomocí tajného klíče,
nebo způsobem definovaným zákazníkem.
Část procesu autentizace se zabývá vytvořením pověření, které popisuje totožnost klienta. Rozhodnutí
o autorizaci, které provádí autorizační služba, jsou založena na pověřeních uživatele. Zdroje v zabezpečené
doméně mají nadefinovánu úroveň zabezpečení, která je nařízena bezpečnostní politikou dané domény.
Bezpečnostní politika nadefinuje oprávněné účastníky zabezpečené domény a úroveň zabezpečení obklopující
každý zdroj, vyžadující zabezpečení.
V modelu autorizace produktu Access Manager je autorizační politika implementována nezávisle na způsobu,
který je používán pro autentizaci uživatelů. Na obrázku č.1 je zobrazen všeobecný princip, který Access
Manager používá při autorizaci pŕístupu.
Správce
politik
Klient/
požadavek
Registr
uživatelů
Objekty/
pravidla
Vymahač
politiky
Cíl/
aplikace
Obrázek č. 1
Do rodiny produktu Access Manager patří IBM Tivoli Access Manager for eBusiness, který zabespečuje přístup
v prostředí WEB, dále IBM Tivoli Access Manager for Business Integration, který výše zmíněný princip
zabezpečení aplikuje v oblasti middleware-u a IBM Tivoli Access Manager for Operating Systems, který výše
zmíněný princip rozšiřuje o operační systém Unix.
Stěžejní komponentou produktu IBM Tivoli Access Manager for eBusiness (dále ITAMeB) je WebSeal ve
funkci vymahače politiky obrázek č.2.
HTTP Záhlaví
WebSEAL
WAS
WAS
Web Svr.
Application
Aplikace
Junction
Bod spojení
Obrázek č.2
246
Resource
Resource
Zdroje
WebSeal – vymahač politiky pracuje jako reverse proxy. Po autentizaci uživatele je schopen poslat informace
o uživateli doplněním přímo do HTTP/HTTPS záhlaví pro specifickou aplikaci, která je svázána s bodem
spojení (junction), tj. serverem na kterém je aplikace provozována.
A zde je popis procesu autorizace, který WebSeal provádí, když z z Web nebo PDA klienta dorazí požadavek na
provedení některé z funkcí poskytovaných aplikací:
3. Požadavek autentizovaného klienta (pokud uživatel není autentizován WebSeal provede nejdřív
kontrolu identity - autentizaci) na zdroj je přesměrován na server správce zdrojů a je zachycen
procesem vymahače politiky. Správce zdrojů může být server WebSEAL (pro přístup prostřednictvím
protokolu HTTP nebo HTTPS), nebo aplikace jiného dodavatele.
4. Proces vymahače politiky zavolá prostřednictvím autorizačního rozhraní API autorizační službu
a požádá ji o rozhodnutí o autorizaci
5. Autorizační služba provede kontrolu autorizace pro zdroj, který je v prostoru chráněných objektů
představován objektem.
6. Rozhodnutí, zda požadavek je přijat nebo zamítnut, je navráceno ve formě doporučení správci zdrojů
(prostřednictvím vymahače politiky).
7. Je-li požadavek nakonec schválen, správce zdrojů předá požadavek aplikaci, která je za zdroj
odpovědná.
8. Klient obdrží výsledky požadované operace.
3 Koncept jednotného přihlášení (Single sign-on - SSO)
Je-li chráněný zdroj umístěn na webovém aplikačním serveru typu back-end, může být na klientovi, který žádá
o určitý zdroj, požadováno, aby provedl několik přihlášení – jedno pro server WebSEAL a další pro server typu
back-end. Každé přihlášení bude pravděpodobně vyžadovat odlišné totožnosti pro přihlášení.
Problém správy a udržování více totožností přihlášení je možné vyřešit pomocí mechanismu pro jednotné
přihlášení (SSO - single sign-on). Konfigurace jednotného přihlášení dovolí uživateli přistupovat ke zdroji bez
ohledu na umístění zdroje, a to pomocí pouze jediného prvního přihlášení. Jakýkoliv další požadavek na
přihlášení ze serveru typu back-end je pro uživatele zpracován transparentně.
Součástí ITAMeB je Access Manager for WebSphere Application Server (WAS), které nabízí autorizaci
založenou na kontejnerech a centralizovanou správu politik aplikací produktu IBM WebSphere Application
Server.
Access Manager for WebSphere může být integrován s produktem WebSphere Application Server a provádí
rozhodnutí o autorizaci příchozích požadavků na přístup ke chráněným zdrojům.
Nasazením Access Manager for WebSphere může administrátor sítě nastavit Access Manager tak, aby
poskytoval centralizovanou správu bezpečnostní politiky jak pro zdroje produktu WebSphere Application
Server, tak i pro zdroje, které nejsou v žádné souvislosti s produktem WebSphere Application Server. Access
Manager poskytuje správu obecných totožností, uživatelských profilů a autorizačních mechanismů. Access
Manager také nabízí grafické uživatelské rozhraní, které se nazývá Access Manager Web Portal Manager. Toto
rozhraní se může používat jako jediný bod správy bezpečnosti jak pro zdroje přizpůsobené Java 2 Enterprise
Edition (J2EE),tak i pro zdroje nepřizpůsobené J2EE.
4 Přístup k utajovaným skutečnostem
Vývoj nových služeb autorizace pro každou aplikaci je drahý proces, který vede k těžko spravovatelné
infrastruktuře. Centralizované služby autorizace, které mohou využívat vývojáři prostřednictvím standardizovaných rozhraní API, významně zrychlí proces dodání na trh a sníží provozní náklady a to je cílem produktu
IBM Tivoli Access Manager.
247
248
Bezpečnostní síťové incidenty – reakce v reálném čase
a využití systémů IDS.
Jan Müller, CSc.
[email protected]
ICZ a.s.
V Olšinách 75, 100 97 Praha 10
1 Úvod
Následující materiál navazuje na prezentaci Intrusion Detection Systems in Incident Response, předneseného na
semináři NATO Inforensics and Incident Response Workshop (IIRWS) v Haagu v říjnu loňského roku.
Cílem tohoto příspěvku je prezentovat potřebu změny přístupu k řešení incidentů (incident response)
z tradičního forenzního pojetí reaktivního typu na přístup proaktivní, nebo lépe řečeno na koncepci zásahu
v reálném čase, která umožní minimalizovat škody způsobené probíhajícím útokem. Příspěvek krátce popisuje
konkrétní obchodní a operační prostředí společnosti ICZ a.s., na kterém jsou založeny implicitní předpoklady
a hodnotící kritéria pro vyhodnocení efektivnosti jednotlivých přístupů, dále se zabývá problematikou
bezpečnosti jako trvalého procesu v kontextu připojení k nedůvěryhodné síti a rovněž rozebírá konkrétní
problémy a zkušenosti z provozu podobných systémů. Problematika bezpečnostních incidentů je v tomto
příspěvku zúžena na rozhraní mezi privátní sítí subjektu a vnější nedůvěryhodnou sítí, obvykle Internetem.
2 Prostředí a specifický kontext prezentovaných zkušeností
ICZ a.s. patří mezi nejvýznamnější společnosti na trhu IT v České republice a jejím hlavním posláním je
poskytování komplexních řešení v oblasti IT, které ve vybraných segmentech pokrývají celé vertikály od infrastruktury až po vlastní aplikace, a to od analytických prací přes návrh, realizaci až po správu produkčních
systémů. V kontextu tohoto příspěvku jsou v portfoliu ICZ nejzajímavější oblasti jednak komplexní řešení
bezpečnosti od strategického řízení rizik až po kryptografické technické prostředky, a dále návrh, realizace
a provoz rozsáhlých sítí se zvláštním důrazem na bezpečnost. ICZ zajišťuje u zákazníků v dohodnutém rozsahu
jak správu sítí, tak i bezpečnosti (Managed Security Services), a tento příspěvek vychází ze zkušeností ze správy
zákaznických systémů. Právě z obrovské variability takto poskytovaných služeb, které se u jednotlivých
zákazníků liší rozsahem, bezpečnostními požadavky, funkčními požadavky a použitými platformami, vyplývají
některé specifické pohledy na danou problematiku. V kontextu takovýchto služeb jsou pak preferovány jiné
vlastnosti systémů než u běžného uživatele, např. jednoduchost vzdálené správy na úkor grafického uživatelského rozhraní, a vyžadují se další schopnosti jako je možnost efektivního propojení těchto zákaznických
systémů do kontaktního centra poskytovatele apod. Rovněž je kladen důraz na minimalizaci požadavků na
zdroje zákaznické sítě, nezbytné je zejména omezení provozu mezi sensorem (E-box) a analyzátorem (A-box).
3 Obecný rámec bezpečnosti v síťovém prostředí
Jedním z nejzásadnějších požadavků na jakékoli řešení bezpečnosti sítě je existence formálnějšího rámce řízení
rizik v organizaci, kde jsou zajišěny potřebné procesy a procedury, definována hierarchie bezpečnostních
pracovníků a jejich odpovědnosti, a kde jsou také definovány bezpečnostní politiky, které se v důsledku
promítají i do bezpečnostních opatření jako jsou konfigurací firewallů a systémů IDS. Fundamentálním a často
nedoceňovaným principem v této oblasti je ovšem fakt, že bezpečnost není něco, co se získá zakoupením
a instalací nějakého zařízení, nýbrž je to trvalý a dosti náročný proces. Z pohledu síťové bezpečnosti probíhají
takové trvalé procesy minimálně na třech různých rovinách:
•
strategická – zde se obvykle v pravidelných cyklech provádějí audity, zajišťují se revize politik různých
úrovní a kontroluje se, zda i nadále odpovídají potřebám organizace v měnících se podmínkách;
•
taktická - na této úrovni je třeba jednak provádět revize konfigurací (jestli odpovídají měnícím se
politikám nebo novým požadavkům na funkčnost), a dále je nutno provádět trvale revize nástrojů,
zejména aplikovat bezpečnostní aktualizace (updaty, patche) tak, aby použité nástroje splňovaly
bezpečnostní cíle (Security Objectives ve smyslu Common Criteria) požadované pro tento systém;
249
•
operační – na této úrovní musí probíhat v podstatě trvalé analýzy logů a provozu z různých zařízení
jako jsou IDS systémy, firewally, hraniční směrovače, ale také různé servery a jiné počítače.
V reálném nasazení je třeba si uvědomit, že při cíleném útoku nemůže žádný systém vydržet poskytovat
potřebné služby nekonečně dlouho (to platí zejména u útoků typu DoS) a že je tedy potřebný externí zásah.
4 Forenzní přístup k řešení bezpečnostních incidentů
Tradiční přístup k řešení bezpečnostních incidentů má reaktivní charakter a vychází z klasického forenzního
pohledu, kde se předpokládá, že došlo k nějakému (zlo)činu a k jeho vyšetření je nutno analyzovat veškerou
dostupnou evidenci. Asynchronní událostí (trigger), která spouští celý mechanismus incident response, je zde
tedy zpozorování viditelné škody na aktivech systému, a o vlastním incidentu se přepokládá, že proběhl
víceméně jednorázově kdesi v minulosti. Výhodou takového postupu je na druhé straně právě fakt, že škoda již
byla způsobena (obvykle brání normálnímu používání systému), incident je zřejmý, riziko falešných positiv je
minimální a není pak třeba provádět tzv. triage (předběžné třídění významných a nevýznamných událostí).
Přestože tento přístup je v mnoha případech opodstatněný, právě v kontextu připojení k nedůvěryhodným sítím
lze mnoha škodám předejít tím, že asynchronní událostí, která nastartuje zásahový mechanismus, není
dokončený průnik a ztráta aktiv, ale první příznak skutečného cíleného útoku. Na druhé straně je ovšem třeba
říci, že problematika Incident response je podstatně širší než reakce na útoky proti síti, a může zahrnovat celou
řadu dalších jevů jako např. SPAM, neoprávněné použití systémů a dalších zdrojů atd. (viz. např.
http://www.sans.org/rr/incident/events.php, From Events to Incidents).
Standardní přístup k řešení bezpečnosti vůči externím sítím předpokládá rozdělení prostoru na vnitřní
důvěryhodný svět a vnější nedůvěryhodný, a dále oddělení těchto prostorů zabezpečenou kruhovou obranou
(perimeter defense). Nejen že je tato dělba obvykle naivní, ale většinou je nepodložená i důvěra v odolnost
bezpečnostních opatření – nedojde-li v rozumné době k manuálnímu zásahu, obrana je prolomena, dojde ke
způsobení škody a na řadu opět přicházejí tradiční forenzní metody.
5 Incident response v reálném čase
Pokud je chráněný systém vybaven mechanismy pro identifikaci útoku, může ve vhodné architektuře informovat
kontaktní centrum a vyžádat si tak zásah operátora. V řadě případů tak může být síť ušetřena jakýchkoli ztrát,
protože útok byl teprve zahájen a díky mechanismu časného varování bylo možno jej včas neutralizovat. Reakce
v reálném čase tak směřuje k neutralizaci útoku, zatímco tradiční reaktivní incident response reaguje na
způsobenou škodu, kterou pak pomocí forenzních metod analyzuje a odstraňuje.
Jako systém časného varování pro tyto účely jsou používány právě mechanismy IDS; ani IDS ovšem není
všelék, existuje jich celá řada s různou architekturou a s různou úrovní přesnosti a bezpečnosti. Kromě toho
existují konkrétní útoky pro obejití IDS a IDS navíc přinášejí i některé další specifické problémy.
Samotná reakce závisí na typu útoku; typicky se jedná o tzv. penetrační útok, jehož cílem je obvykle získání
privilegovaných práv a ovládnutí napadeného systému (např. komplexní mechanismy jako Ramen nebo Lion).
Mezi další typy útoku patří stále častější DoS (Denial of Service), kde cílem je zabránit napadenému systému
v poskytování legitimní služby. To může být např. využítím mezery v implementaci serveru služby (třeba
syntakticky správný, avšak neočekávaný příkaz nebo paket, např. LAND), neočekávané využití vlastnosti nebo
konfigurace sítě nebo systému (např. Smurf nebo Fraggle), nebo nějaký patologický vstup (překrývající se
segmenty TCP nebo fragmenty IP, nesprávná sekvence příkazů a pochopitelně buffer overflow útoky). Velmi
často však jde o vyčerpání nějakých omezených zdrojů, např. CPU cyklů, šířky pásma pro připojení na Internet,
ale také staticky alokované paměti např. pro počty procesů nebo pro udržování stavových informací v některé
fázi stavového automatu TCP (nejčastěji tzv. polootevřená spojení). Těmto útokům se čelí nejhůře, neboť
využívají legitimní služby, a téměř vždy vyžadují zásah operátora (zejména v případě distribuovaných útoků,
tzv. DDoS, např. Trinoo nebo Stacheldraht).
Na opačné straně spektra pak leží mapování zdrojů potenciální oběti, tzv. scanning, které mnohdy ani není
možno legálně považovat za útok a které je navíc tak časté, že většinou operátorům ani nestojí za nějakou
aktivní reakci.
250
6 Typy IDS a jejich použití
Tradiční členění IDS systémů vychází z umístění IDS, respektive z informačních zdrojů, které představují
primární vstup pro tento systém, a obvykle se dělí na NIDS, network based IDS, které sledují provoz na
(lokální) síti, a HIDS, host based IDS, které sledují podezřelé události na vlastním počítači. Toto hrubé rozlišení
je stále validní, protože NIDS sleduje síťové pakety, které by mohly způsobit škodu, zatímco HIDS sleduje
události v systému, které se již odchylují od standardního chování.
Typický NIDS tak sleduje průchozí pakety na síti, často zcela nezjistitelně (tzv. Stealth Mode - monitorovací
rozhraní nemusí mít IP adresu nebo má aktivní jen přijímací vodič), analyzuje je a na základě svých představ
o nebezpečnosti pro pokryté systémy pak provádí potřebné akce. Tyto představy se ovšem mohou lišit od reality,
a existuje celá třída útoků, tzv. insertion/evasion attacks [3], které těchto rozdílů využívají k úspěšným
průnikům. NIDS mohou být lokalizovány ve třech zónách, které se liší sensitivitou a počtem falešných positiv –
červená před firewallem, zelená v DMZ a modrá ve vnitřní síti (viz. [9]). Vzhledem k současnému rozšíření
přepínačů mohou mít NIDS i problémy s umísťováním sensorů na porty SPAN (Switch Port Analyzer).
HIDS je naopak lokalizován na chráněném počítači, obvykle serveru, a ve standardním operačním systému
pracuje buď v uživatelském prostoru (user space), obvykle jako tzv. aplikační IDS, anebo na úrovni jádra OS
(kernel space). Na této úrovni pak může detekovat pokusy o použití privilegovaných funkcí, případně
prosazovat potřebnou politiku pomocí mechanismů Mandatory Access Control (cf. NSA SELinux).
V uživatelském prostoru mohou pracovat i další nástroje, které umožňují sledování neautorizovaných zásahů,
např. zabezpečení integrity souborových systémů kryptografickými prostředky apod. Řada systémů HIDS
pracuje v tzv. Near Real-Time, kdy reagují nikoliv na vlastní událost, ale okamžitě na zápis do sledovaného
logu.
Další perspektivní typ IDS je tzv. stack based IDS; tento systém pracuje na úrovni TCP/IP ovladače operačního
systému a někdy je vnímán jako varianta HIDS (pojetí z [7]), někdy spíše jako samostatný typ IDS ([4]), tzv.
Network Node IDS (NNIDS). Stack based IDS je umístěn na počítači podobně jako HIDS, ale analyzuje IP
provoz jako NIDS, ovšem pouze pro interní potřebu ve vlastním ovladači TCP/IP. Takový systém pak reaguje
již na pokusy o průnik (na rozdíl od typických HIDS), ale oproti tradičním NIDS rozumí i vnitřní interpretaci
(obrana proti útokům typu evasion/insertion).
Mezi další zajímavé typy patří dále tzv. Inline IDS (IIDS), též nazývané Gateway IDS (GIDS). Jedná se
v zásadě o firewally, které vyhodnocují a blokují pokusy o útok (obvykle dynamicky).
Dále je ovšem nutno si uvědomit, že oblast IDS se stále dramaticky vyvíjí, a to nejen přidáváním nových
schopností, ale také z hlediska celkové architektury a způsobu využití systémů. IDS jsou navíc alespoň částečně
distribuované, liší se již v základních cílech, v metodách a v procesním řízení a nakonec se liší i referenční
architektury, např. architektura popsaná v materiálu NSA Intrusion Detection Protection Profile [1] a architektura v dokumentu NIST Intrusion Detection Systems [2], případně i architektura CIDF (Common Intrusion
Detection Framework), použitá v materiálu [3].
Hrubý přehled kritérií pro posuzování IDS by měl obsahovat alespoň následující aspekty:
•
cíle IDS – IDS je zaměřen primárně buď na identifikaci útočníka (accountability), nebo na korektní
reakci na pokus o průnik (response). Tyto základní cíle pak kladou na mechanismy IDS zcela jiné
požadavky;
•
typ reakce
•
•
pasivní – systém zasílá na centrální konzoli různé alarmy a oznámení od „pop-up alert window“ na
konzoli přes SNMP trapy pro centrální NMS systém až po přímé upozornění operátorů pomocí
SMS, pagerů nebo e-mailů;
•
aktivní – systém (zejména v distribuované verzi) provádé sám některá základní opatření, např.
shromažďování většího množství informací, rekonfiguraci prostředí (access-listy na porty, IP
adresy, reset na TCP, totální odpojení) nebo přímá aktivní obrana (nedoporučuje se);
procesní architektura – existuje více verzí, tak například NIST [2] člení procesy na získání informací,
jejich analýzu a odpověď, zatímco CIDF přidává datový sklad a architektura se pak skládá z:
•
E-box (passive protocol analyzer) – ve skutečnosti sensor
•
D-box (storage)
•
A-box (pattern-matching analysis)
251
•
C-box (countermeasure) ;
•
NSA IDS Protection Profile [1], vytvořený v souladu s architekturou Common Criteria podle ISO/IEC
15408, naopak integruje do systému ještě vyhodnocení zranitelnosti (vulnerability assessment), takže
výsledná architektura IDS obsahuje sensor, analyzer a scanner (to ostatně odpovídá řadě reálných
implementací);
•
Reálný čas – jak systémy HIDS, tak NIDS i další mohou vyhodnocovat situaci (např. prohlížet interní
logy nebo nashromážděné pakety) průběžně nebo po nějakých obdobích (interval-based); i v případě
průběžného vyhodnocování může být vlastní předávání reportů po intervalech. V těchto případech je
nutno vyhodnotit možné škody v důsledků opožděné reakce proti nárokům na zdroje, vyžadované pro
trvalé vyhodnocování;
•
Řídící strategie – do jaké míry je architektura centralizována. Obvykle jsou na klíčových místech
umístěny sensory (NIDS nebo HIDS), které sbírají informace a zasílají je k dalšímu vyhodnocení.
V centralizované architektuře se jedná o jedinou centrální konzoli, kde se provádí vyhodnocení
a zajišťuje se reakce, zatímco v plně distribuované architektuře se tyto akce provádějí lokálně.
V částečně distribuované architektuře se pak obvykle jedná o hierarchický systém, kde lokální IDS
konzole vyhodnocují potenciální útoky a provádějí některá protiopatření, ale také zasílají agregované
informace, reporty a alarmy do centra, často právě s použitím méně výkonných spojů (pronajaté linky
nebo i Internet);
•
Způsob identifikace potenciálních útoků – buď podle rozpoznání specifických aktů nepřátelského
chování (Misuse detection), nebo podle rozpoznání anomálního chování na síti nebo v systému
(Anomaly detection):
•
Misuse detection – zdaleka nejběžnější přístup v komerčních IDS je tzv. signature based detection,
kde se používá identifikovatelných vzorců interakce, velmi připomínající způsob identifikace virů
v AV systémech. Podobně jako u anti-virů, i zde je systém závislý na přesném popisu útoku a proto
je třeba databázi signatur neustále aktualizovat. Metoda stavového rozpoznávání (state based
detection) se snaží rozšířit možnosti i o rozpoznávání variant, ale není příliš rozšířená.
•
Anomaly detection – přes řadu teoretických nástrojů, sahajících až k neurálním sítím, se v praxi
používají především dvě metody, prahové (threshold) a statistické. V reálném nasazení slouží tyto
nástroje hlavně k omezení konzumace zdrojů, typicky např. počtu polootevřených spojení, CPU
cyklů apod. IDS na bázi anomaly detection často generují falešné pozitiva (viz dále) a u neparametrických statistických systémů vyžadují často „trénování“ pro identifikaci normálního chování.
7 Problémy systémů IDS a jejich využití pro Incident response
7.1
Technické problémy
V reálném provozu IDS je pravděpodobně nejzásadnějším problémem velké množství tzv. falešných positiv
(false positives), tj. situace, kdy detekční systém hlásí významnou událost, ačkoliv k žádné nedošlo. Tento
problém je obzvláště závažný u exponovaných sítí, které jsou cílem tisíců útoků a scanů denně; podle některých
právníků je scanning legální, jedná se totiž o vyhledávání veřejně přístupných zdrojů, a mnoho operátorů proto
pak např. scany zcela ignoruje, protože proti nim ani nemohou nijak zasáhnout. Jestliže IDS generuje mnoho
falešných positiv, má to na bezpečnost systémů negativní psychologický dopad, protože administrátor pak
výstupy z IDS nebere na vědomí, tj. situace je horší, než kdyby tam nic nebylo.
Dalším v zásadě technickým problémem je vyhodnocování efektivnosti IDS, tzv. benchmarking, pro potřeby
konkrétní sítě. Reálné požadavky jsou obecně minimalizovat falešná negativa (nezaznamenané útoky) a potom
minimalizovat falešná positiva. Kritéria by se neměla zaměřovat jen na rychlost, ale především na to, jak IDS
plní své funkce. Efektivnost závisí na těchto požadovaných funkcích (např. defragmentace, udržování stavových
informací), na konkrétní topologii a konfiguraci sítě a také na poskytovaných službách. I v případě, že uživatel
má jasno v požadované funkcionalitě (viz. další odstavec), je třeba ke zveřejňovaným testům (zejména
v komerčních prezentacích vlastních produktů) přistupovat velmi opatrně a pochopit metodiku, zejména jaké
typy funkcí byly testovány a na jakém typu provozu. Performance ve smyslu rychlosti sítě hlídané systémem
IDS je až dalším kritériem po splnění dvou hlavních podmínek, a i pak je nutno vědět, co v testu reálně proběhlo
– M.J.Ranum uvádí např. v [5] příklad benchmarku, kde NIDS pouze zahazoval pakety v gigabitových
rychlostech.
252
7.2
Procesní problémy
Mezi další zcela zásadní problémy s využitím IDS pro incident response patří organizační vyřešení procesů IDS.
Má-li IDS skutečně předcházet škodám, musí být integrálně začleněn do kontaktního centra, případně
u poskytovatelů MSS do mechanismů CRM (Customer Relation Management). Jedná se tedy především
o organizační problém, kde je zapotřebí zajistit včasnou kompetentní analýzu incidentu a odpovídající reakci
kvalifikovaným personálem.
Zejména u MSS se vyžaduje jak automatizovaná část s nějakou inteligencí pro eliminaci falešných positiv, tak
I lidská část pro závažná rozhodnutí, tzn. optimální architektura je částečně distribuovaný systém. Celý systém
je pak náročný na procesní propojení jednotlivých částí a vyžaduje integrační mechanismus pro okamžitou
reakci na vyfiltrované významné události a pro jejich sledování (alarmy, tiketový systém apod.). Operátor IDS
musí mít také připraveny postupy pro komunikaci s ISP pro případy distribuovaných útoků (pozor – někteří ISP
považují blokování útoků DDoS za nadstandardní placenou službu). Systém musí dále obsahovat procedury pro
ukončení případu, např. uzavřením tiketu, ale také vypracovaním reportu s doporučením dalšího postupu pro
závažné incidenty. Obvykle se také požadují možnosti reportů dlouhodobějšího vývoje incidentů na síti.
8 Požadavky na IDS, zkušenosti a doporučení
Mezi základní požadavky na IDS patří především schopnost rozeznat útok; hlavním kritériem tedy je, jaké
události systém rozpoznává a jaké nástroje má k dispozici. IDS může např. udržovat stavové informace TCP pro
minimalizaci falešných positiv, provádět defragmentaci a identifikovat překrývající se fragmenty pro útoky
insertion/evasion, provádět skutečnou analýzu protokolů namísto spoléhání na čísla portu, rozpoznávat pomalé
skenování (slow scan) atd. Z hlediska bezpečnosti jsou rovněž důležité mechanismy pro aktualizaci databáze
útoků. Pro sjednocení názvosloví a popisů útoků doporučujeme vycházet ze standardního seznamu CVE
(Common Vulnerabilities and Exposures List), udržovaném na www.mitre.org.
K dalším požadavkům patří kromě rychlosti zejména rozšiřitelnost a integrovatelnost do NMS, ale také možnost
využití dalších nástrojů jako je scanner, firewall, AV, honeypot aj.
Zejména pro poskytovatele MSS je důležitá schopnost automatizace práce s logy a schopnost rozumět i jiným
formátům (např. nová verze Prelude zpracovává i logy nástroje ciscomon). Neméně důležité jsou i nástroje pro
generování reportů, statistických zpráv a různých typů grafů. Pro další zpracování incidentů, pro případnou
forenzní analýzu nebo pro poskytnutí detailů v dalším řízení je rovněž potřebná schopnost logy uchovávat
(D-box v modelu CIDF).
Samotný systém IDS se ovšem sám nesmí stát zdrojem odmítnutí služeb (DoS), např. zahlcením sítě různými
zprávami a logy v syrovém stavu. Zejména v kontextu MSS je často nutno používat částečně distribuované
architektury, protože sensorová stanice leží ve vzdálené síti a je tedy nutno minimalizovat provoz přes WAN,
tzn. delegovat část procesování do vzdálené sítě.
Obecně ovšem platí, že samotná kruhová obrana nemůže být vždy stoprocentní a že je tedy nutno používat
obranu do hloubky. Pro tyto účely lze doporučit používání jak NIDS, tak HIDS na přístupných serverech, kde
síťový systém identifikuje potenciální útok a serverový systém identifikuje skutečný průnik. Exponované
systémy by měly mít Mandatory Access Control na úrovni jádra, kde logy a alarmy z komponenty Enforcer
představují vstup pro konzoli IDS. ICZ k tomu používá zesílené operační systémy (vlastní distribuce ICZ Linux)
a další upravené systémy s využitím kernel patchů pro MAC jako jsou LIDS, GRSecurity a Medusa. Tyto
požadavky see týkají i vlastních síťových IDS, které musí být rovněž bezpečné (často jsou navíc také skryté).
Síťové NIDS by dále neměly sledovat jen provoz zvenku dovnitř, ale také provoz ven. Ten může ukázat
zahájení činnosti hackerských programů na kompromitovaných systémech, které se pokouší komunikovat se
svými pány (odesílání citlivých souborů, login informací, mailů apod.), ale může se tak odhalit i činnost systémů
infikovaných nedetekovaným virem uvnitř sítě.
Pro doplnění detekce průniků lze doporučit i aplikační IDS, buď jako produkty u složitějších aplikací (sledování
a analýza logů u DBMS), nebo i jednoduché upravené běžné programy („miny“), které mohou hlásit nestandardní použití na konzoli IDS.
253
9 Další vývoj
Obecně můžeme říci, že se vzrůstajícím používáním sítí včetně Internetu pro realizaci obchodních aktivit
různých typů vzrůstá hodnota aktiv jednotlivých uživatelských subjektů, zranitelných z Internetu, narůstá
zranitelnost a kritičnost těchto aktiv, ale narůstají také hrozby a motivace tyto hrozby uplatnit. Samotný výpadek
služby již může vést ke značným škodám, a tak začíná být bezpečnost prvořadým úkolem. Viděli jsme, že IDS
systémy mohou významně snížit způsobené škody, a v dalším rozvoji bezpečnosti sítí budou jistě hrát klíčovou
roli všechny uvedené typy.
Další rozvoj se soustřeďuje na několik oblastí, především na přesnější identifikaci útoků s minimalizací
falešných positiv, kde jsou často používány metody z oblasti datových aplikací jako Data mining. Řada systémů
aktivně reaguje na incident změnou prostředí, které připomínají dynamické Access-listy (např. Cisco) nebo
v NSA koncepci dynamické bezpečnostní politiky v projektu Flask. Dalším zajímavým vývojem je určitá fúze
IDS a firewallů do tzv. IPS, Intrusion Prevention Systems, které mají v principu minimalizovat potřebu lidského
zásahu do mechanismu Incident response. Patří sem např. již zmíněné Inline NIDS, které ovšem nemohou
poskytnou služby NAT, protože fungují na druhé OSI vrstvě (jako tzv. mosty - bridge), dále různé typy
přepínačů 7. vrstvy, hybridní přepínače v kombinaci s falešnými sítěmi honeynet , ale také se scannerem který
importuje svá výstupní data jako politiku do IPS, aplikační IPS a další. Oblast IDS je tedy stále ve vývoji
a v blízké budoucnosti lze očekávat další významné přínosy.
10 Literatura a zdroje:
http://www.nsa.gov
http://www.icat.nist.gov
http://www.mitre.org
http://www.sans.org
http://www.snort.org
http://www.securityfocus.com
http://www.iss.net
http://www.nfr.com
[1]
Example, J., and Example, W.: The best paper ever written, in Proc. Of Cryptoworkshop, pp. 1-2, 2002.
[2]
“Intrusion Detection System System Protection Profile“, „Intrusion Detection System Analyzer
Protection Profile“, „Intrusion Detection System Sensor Protection Profile“, by Science Applications
International Corporation for National Security Agency, 2001
[3]
R. Bace, P.Mell, „Intrusion Detection Systems“ NIST
[4]
T.H.Ptacek, T.N.Newsham, „Insertion, Evasion and Denial of Service: Eluding Network Intrusion
Detection“, SecureNetworks Inc. 1998
[5]
Detmar Liesen, „Requirements for Enterprise-Wide Scaling Intrusion Detection Products“,
[6]
M.J.Ranum, „Experiences Benchmarking Intrusion Detection Systems“, NFR Security, Inc. 2001
[7]
P.A.Loscocco, S.D.Smalley, P.A.Muckelbauer, R.C.Taylor, S.J.Turner, J.F.Farrell, „The Inevitability of
Failure: The Flawed Assumption of Security in Modern Computing Environments“, NSA 1998
[8]
B.Laing, “How To Guide-Implementing a Network Based Intrusion Detection System”, ISS 2000
[9]
N.Desai, „Intrusion Prevention Systems: the Next Step in the Evolution of IDS“, SecurityFocus 2003
[10]
S.C.Sanchez, „IDS Zone Theory Diagram“, CISSP 2000
254
Využití Microsoft Internet Security & Acceleration Server
nejen pro VPN (Virtuální privátní síť) a firewall
Bezpečnostní řešení pro organizace
Microsoft, s.r.o.
Společnost Avanade využívá integrované řešení globálního propojení
pomocí Microsoft Internet Security & Acceleration Server 2000.
Společnost Avanade se sídlem v Seattlu si vybrala jako základ své strategie připojení přes síť WAN (Wide Area
Network) řešení Microsoft ISA (Internet Security & Acceleration) Server 2000. Společnost Avanade nyní
využívá výhody jediného řešení, které zajišťuje propojení všech poboček a datových center společnosti po celém
světě prostřednictvím sítě VPN (Virtual Private Network). Tím, že společnost nevyužívá vyhrazené datové
okruhy typu point-to-point, ušetří miliony dolarů. ISA Server také poskytuje společnosti Avanade komplexní
zabezpečení sítě (prostřednictvím brány firewall využívající vyspělé technologie), snižuje požadavky na šířku
pásma, zajišťuje lepší odezvu na požadavky uživatelů a umožňuje místním pobočkám jednoduchým způsobem
publikovat obsah tak, aby byl snadno přístupný zákazníkům. Prostředí integrované správy a integrace služby
Active Directory, které ISA Server poskytuje, také zjednodušují správu společnosti Avanade – umožňují totiž
správu z jediného bodu. Celkově jsou tak splněny požadavky společnosti z hlediska propojení celé organizace.
1 Souhrnné informace o společnosti
Společnost Avanade byla založena v dubnu 2000 a představuje joint venture mezi společností Accenture
a Microsoft. Avanade poskytuje nejmodernější služby integrace technologií společnostem Global 2000 a tzv.
tvůrcům trhu (market makers). Dodává řešení spojující hluboké technické znalosti se zkušenostmi v oblasti
integrace.
Společnost Avanade s 1 200 zaměstnanci v 11 zemích má velmi distribuovanou strukturu. Spravuje 17 vývojářských center v USA, Evropě, Jižní Americe a Asii a Tichomoří. Vytváří pro zákazníky přidanou spotřebitelskou
hodnotu využíváním technologie společnosti Microsoft určenou pro organizace, která umožňuje návrh,
vytváření a zavádění přizpůsobených spolehlivých architektur a rozšiřovatelných infrastruktur. Společnost
Avanade také spravuje tři datová centra – v Santa Clara (Kalifornie), Frankfurtu (Německo) a Singapuru.
2 Situace
Rychle se rozvíjející globální společnost Avanade požadovala nenákladnou, bezpečnou a flexibilní strategii
připojení WAN, která by umožňovala propojit všechny její pobočky na celém světě. „Balíčky obsahující řešení
sítě VPN a brány firewall jsou obvykle složité, nákladné a náročné z hlediska globální implementace v celé
organizaci,“ řekl Craig Nelson, vedoucí týmu architektury společnosti Avanade. „Potřebovali jsme řešení, které
by nám umožňovalo bezpečně a levně propojit naše pobočky a datová centra na celém světě prostřednictvím sítě
VPN, snížit požadavky na šířku pásma a zlepšit odezvu na požadavky uživatelů. Zároveň mělo toto řešení
umožňovat místním pobočkám jednoduchým způsobem publikovat obsah tak, aby byl snadno přístupný na
Internetu.“
Až do nedávné doby společnost Avanade využívala pro základní filtrování paketů a překlad adres (NAT) bránu
firewall Check Point. „Za účelem zvýšení zabezpečení a povolení složitých protokolů, například H.323, jsme
potřebovali řešení, které by umožňovalo překlad adres (NAT) a kontrolu dat v aplikační vrstvě,“ popsal situaci
Craig Nelson.
255
3 Řešení
Po vyhodnocení všech dostupných možností se společnost Avanade rozhodla nahradit stávající řešení brány
firewall serverem Microsoft Internet Security & Acceleration (ISA) Server 2000. „Celá naše páteřní síť je
založena na serveru ISA Server a službě Směrování a vzdálený přístup (RRAS) systému Windows® 2000,“ řekl
Craig Nelson. „Podařilo se nám vyvinout standardizovanou implementaci, která umožňuje na libovolném místě
na světě vybudovat pobočku s přístupem k Internetu. Celkem nyní využíváme po celém světě více než 60
serverů ISA.“
3.1
Kompletní páteřní síť VPN
Pomocí serveru ISA Server 2000 byla společnost Avanade schopna vytvořit síť VPN s vysokou dostupností
umožňující zabezpečené přímé připojení mezi libovolnými vývojářskými a datovými centry společnosti po
celém světě. „Kompletní páteřní síť VPN nám umožňuje řídit naše vlastní připojení typu point-to-point. To se
podle nás stane nesmírně důležité z hlediska nových směrů v technologiích – komunikace typu peer to peer,
využívání Windows Messenger, technologie Voice over IP, atd.,“ uvedl Craig Nelson. „Místo nákladných
telekomunikačních okruhů typu point-to-point můžeme získat daleko levnější internetové okruhy od vybraných
poskytovatelů a vytvořit svá vlastní logická připojení mezi pobočkami pomocí technologií RRAS a VPN
společnosti Microsoft.“
Všechny pobočky a datová centra společnosti Avanade mají bránu sítě obsahující 2 jednoprocesorové servery se
systémem Windows 2000 Server a ISA Server 2000 Enterprise Edition. Jde o provoz s vysokou dostupností
využívající konfiguraci active-active a funkci pole poskytovanou servery ISA Server 2000. „V závislosti na
požadované úrovni redundance dat je každá brána připojena k jednomu či více internetovým okruhům od
vybraného poskytovatele,“ upřesnil Craig Nelson. „Brána potom vytvoří tunelová propojení PPTP nebo L2TP
k nejbližšímu datovému centru a pobočkám, se kterými často komunikuje. Mezi datovými a vývojářskými
centry se prostřednictvím protokolu OSPF dynamicky používá funkce Cost-Based Routing. Přenos dat přes
Internet je překládán prostřednictvím protokolu SecureNAT do sítě Internet. Pokud není z důvodu chyby jedno
z tunelových propojení k dispozici, je z rozhraní protokolu OSPF odebráno a přenos je směrován na dostupné
tunelové propojení. Také plánujeme, že budeme tunelové propojení v rámci naší sítě VPN používat pro
technologii Voice over IP, kterou nám zajišťuje společnost Shoreline, přičemž pro určování priorit přenosu se
bude používat služba QoS společnosti Microsoft.“
Kromě povolení dat souborů a tiskových a e-mailových dat, která jsou přenášena přes logická tunelová
propojení mezi datovými centry a pobočkami, umožňuje síť VPN společnosti Avanade vzdáleným uživatelům
připojení k interním zdrojům dat společnosti. „Až 90 procent našich zaměstnanců jsou mobilní uživatelé a naše
nové řešení jim umožňuje se snadno připojovat k síti společnosti,“ řekl Craig Nelson. „Do klientských počítačů
stačí instalovat pouze malý balíček, který lze snadno vytvořit prostřednictvím součásti Správce připojení serveru
Windows 2000 Advanced Server a který zajišťuje bezproblémovou integraci s operačním systémem. Díky
flexibilitě protokolu PPTP lze také pracovat přes několik bran firewall NAT, včetně serveru ISA Server.“
3.2
Komplexní brána firewall společnosti
Výběr řešení ISA Server také umožnil společnosti Avanade implementovat nejmodernější řešení brány firewall
zabezpečující data společnosti. „Díky ISA Server jsme byli schopni snadno implementovat bránu firewall
s vysokou úrovní zabezpečení a kontrolou v aplikační vrstvě,“ uvedl Craig Nelson. „ISA Server dále poskytuje
filtrování paketů a kontrolu pro obvykle obtížné protokoly, jako například RPC a H.323, což umožňuje
zabezpečení na daleko vyšší úrovni.“
Dalšími funkcemi brány firewall serveru ISA Server je přispívání ke schopnosti společnosti zajišťovat
zabezpečené prostředí. „Používáme funkce detekce narušení zabezpečení k protokolování prověřovaných portů
256
a pokusů o prohlížení obsahu sítě,“ vysvětlil Craig Nelson. „Tato data si můžeme dát do souvislosti
s podezřelým chováním, ke kterému může následně dojít.“
3.3
Zabezpečené publikování na server
Vzhledem k tomu, že ISA Server zajišťuje zabezpečené publikování na server, může každá pobočka společnosti
Avanade bezpečně publikovat obsah tak, aby k nim měli přístup zákazníci společnosti Avanade přes Internet.
„ISA Server nám umožňuje využívat výhod necentralizovaného modelu publikování, přičemž je stále zajištěna
velmi vysoká úroveň zabezpečení,“ řekl Craig Nelson. „Nadále můžeme používat ověřování a filtrování dat.
Publikovaný obsah však bude možné prohlížet z klientských počítačů, aniž by uživatelé museli umísťovat své
servery do datových center.“
3.4
Snížení požadavků na šířku pásma a zvýšení výkonnosti uživatelů
Společnost Avanade využívá na ISA Server velmi výkonnou funkci mezipaměti, která umožňuje ukládat do
mezipaměti přenos přes webové servery a servery FTP v bránách sítí jednotlivých umístění, což snižuje přenos
dat v síti WAN společnosti. „Kromě poskytování přístupu k síti VPN analyzují servery ISA v každém umístění
data, přičemž potřebná data ukládají do mezipaměti, což snižuje zatížení našich sítí WAN,“ vysvětlil Craig
Nelson. „To nám umožňuje minimalizovat požadavky na šířku pásma, protože je snížen celkový objem dat
přenášených přes Internet – a to jak na externí servery, tak mezi umístěními v síti WAN naší společnosti. Funkce
ukládaní transparentních dat do mezipaměti serveru ISA Server nám umožňuje pracovat se scénářem
využívajícím protokol SecureNAT, aniž bychom museli využívat místní servery proxy vyžadující další nastavení
prohlížeče a dále zajišťovat uživatelům přístup ke všem protokolům.“
3.5
Jednotné prostředí pro správu
Možnost integrace serveru ISA Server se službou Windows 2000 Active Directory™ umožnila společnosti
Avanade implementovat snadno spravovatelné řešení zajišťující v celé organizaci síť VPN, zabezpečenou práci
s daty a využívání dat z mezipaměti. „Centralizovaná správa zásad, kterou ISA Server společně se službou
Active Directory zajišťuje, představuje opravdovou výhodu,“ uvedl Craig Nelson. „Velice snadno a rychle lze
mezi organizacemi zavádět zásady pro brány firewall. Zásady pro pole organizace zase zajišťují konzistentní
hranice sítě mezi všemi servery. Všechny brány firewall lze sledovat z centrálního umístění prostřednictvím
konzole MMC obsahující různé kategorie. Konzole obsahuje i Terminálovou službu systému Windows 2000,
která slouží ke vzdálenému přístupu na podrobné úrovni. Jako velmi užitečné se ukázaly i integrované funkce
ISA Server pro vytváření různých zpráv a sestav. Lze zpracovávat podrobné sestavy umožňující analyzovat
přenos dat a rozpoznat zneužívání zdrojů dat.“
4 Proč si společnost Avanade zvolila řešení Microsoft
Společnost Avanade si vybrala Microsoft ISA Server 2000, protože umožňoval společnosti splnit řadu
podnikových požadavků v podobě jediného, integrovaného a nenákladného řešení. „Vybrali jsme si ISA Server
z řady důvodů, včetně funkcí VPN, práce s daty v mezipaměti, publikování na server a funkcí správy celé
organizace,“ řekl Craig Nelson. „Byli jsme schopni nainstalovat ISA Server na našich existujících serverech
VPN a dosáhli jsme tak komplexního řešení, aniž bychom museli pořizovat další hardware. S tím, jak naše
potřeby porostou, nám budou funkce serveru ISA Server pro komplexní správu a vytváření polí umožňovat
instalaci a konfiguraci dalších serverů, přičemž bude stále zajištěna vysoká úroveň dostupnosti a zabezpečení.“
Nakonec je třeba uvést, že úspěšná implementace serveru ISA Server ve společnosti Avanade staví tuto
konzultační společnost v oblasti integrace technologií do silné pozice. Tento produkt jim totiž bude umožňovat
plnit všechny požadavky zákazníků. „Poté, co jsme úspěšně implementovali naše vlastní řešení pro globální
propojení společnosti pomocí serveru ISA Server, jsme nyní připraveni toto řešení doporučovat dále našim
zákazníkům a umožnit jim využívat stejné výhody,“ uvedl Craig Nelson.
257
5 Přehled řešení
5.1
Profil
Společnost Avanade poskytuje nejmodernější služby integrace technologií společnostem Global 2000 a tzv.
tvůrcům trhu (market makers). Dodává řešení spojující hluboké technické znalosti a prověřené integrační
procesy s možnostmi technologií od společnosti Microsoft určených pro velké firmy.
5.2
Scénář
Rychle se rozvíjející globální společnost Avanade požadovala nenákladnou, bezpečnou a flexibilní strategii
připojení WAN, která by umožňovala propojit všech jejích 17 poboček.
5.3
Používaný software společnosti Microsoft
•
Microsoft® Windows® 2000 Advanced Server
•
Služba Windows 2000 Active Directory™
•
Microsoft Internet Security & Acceleration (ISA) Server 2000 Enterprise Edition
5.4
Výhody
•
Zabezpečené a dostupné řešení sítě VPN umožňující propojit všechny pobočky a datová centra
společnosti Avanade po celém světě.
•
Snížené požadavky na šířku pásma a lepší výkonnost uživatelů prostřednictvím funkcí serveru ISA
Server zajišťujících práci s transparentními daty v mezipaměti.
•
Zabezpečené publikování obsahu místními pobočkami tak, aby k obsahu měli přístup zákazníci.
Servery řady .NET Enterprise Server představují komplexní serverové aplikace pro vývoj, zavádění a správu
integrované komunikace přes web nové generace, která překračuje hranice dnešní komunikace izolovaných
webových serverů. Při vývoji těchto serverů byl kladen důraz na funkce důležité pro chod podniků, zajišťování
rychlého uvedení na trh a také na rozšiřitelnost, spolehlivost a snadnou správu pro globální organizace
využívající web. Zajišťují interoperabilitu pomocí otevřených webových standardů, jako je například jazyk
XML (Extensible Markup Language). .NET Enterprise Servery jsou klíčovou součástí širší strategie .NET
společnosti Microsoft, která umožňuje využívání modelu práce s počítači v distribuovaném prostředí (DCE –
Distributed Computing Environment) na základě protokolů a standardů sítě Internet. Výsledkem by měl být
převrat ve způsobu vzájemné interakce počítačů.
258
Proaktivní ochrana McAfee:
Vyspělá technologie pro zabezpečení firem
Vladimír Brož
[email protected]
Network Associates
1 Úvod
Proaktivní ochrana je integrovaná strategie McAfee Security, která má za úkol chránit firmy proti novým
ohrožením s co největším časovým předstihem. Pomáhá tak IT manažerům rychle uzavřít Window of
Vulnerability (Okno zranitelnosti) v momentě napadení. Doplňuje tradiční techniky kontroly podpisu použité ve
známém antivirovém řešení a prostupuje celou řadu produktů McAfee Security.
1.1
T-Minus 6 měsíců: Posouzení zranitelnosti viry a zablokování přístupu ke klientovi
První zásada, kterou je nutné se zabývat při zabezpečení firem: úspěšné zvládnutí ohrožení předpokládá
kvalifikování a vyhodnocení ohrožení; před ustanovením strategie zabezpečení je nutné shromáždit všechna data
o všech přístrojích napojených na síť a odhadnout jejich zranitelnost vůči útoku. To je možné dosáhnout díky
McAfee ThreatScan™, který poskytuje proaktivní detekce zranitelnosti viry pro stolní počítače (desktopy)
a servery. ThreatScan proaktivně chrání síť proti kombinovaným hrozbám plánovanými kontrolami a aktualizací
podpisů, proaktivně kontroluje a podává zprávy o nechráněných, neřízených, infikovaných a vůči virům zranitelných počítačích. To vše bez nutnosti zásahu odborníka na zabezpečení. Napomáhá tak firmám dosáhnout
vyšší úrovně protivirové ochrany a strategie souladu identifikováním zranitelných přístrojů, operačních systémů
a aplikací, odhaluje nechráněné a poškozené přístroje, které otevírají cestu pro infikování sítě. ThreatScan
umožňuje firmám přechod od pouhé reakce na aktivní předcházení kombinovaným ohrožením a pomáhá zmenšit
Window of Vulnerability (Okno zranitelnosti).
ThreatScan umožňuje naplánování kontroly přezkoušením přístrojů napojených na síť a využitím nainstalovaných identifikátorů řízených McAfee ePolicy Orchestrator™ (ePO)™. Použitím ePO mohou být identifikátory ThreatScan snadno rozmístěny do strategických míst sítě korporace. Tímto způsobem umožní vzdálenou
správu a kontrolu nových přístrojů.
Obr.1: McAfee Security proaktivní ochrana paralelní s oknem zranitelnosti může dramaticky
zmenšit škody způsobené viry a ostatními zlomyslnými hrozbami zabezpečení
259
ePolicy Orchestrator je řídící platforma McAfee pro monitorování širokého zabezpečení firem a rozmístění
řešení, která převádí velké množství dat na akční informace pro firmu. ePO zprůhledňuje síť firmy a umožňuje
téměř okamžité aktualizování celé sítě. Díky ePO komplexní strategii managementu, grafickému podávání zpráv
a rozmístění softwaru mohou administrátoři řídit a ovládat ThreatScan a McAfee Desktop Firewall™. Zároveň
mohou vytvářet detailní grafickou zprávu o produktech McAfee Security, Symantec Desktop a antivirových
produktech pro servery. ePolicy Orchestrator pro jeden server může být využit až pro 250 000 uživatelů.
Okamžitě reaguje na viry a kombinovaná ohrožení konfigurováním AutoUpdate – automatické aktualizace celé
firmy, manuální kontrolou a vytvořením detailních zpráv, které poukáží na místa vstupu a schéma rozšiřování.
Tato koordinovaná reakce urychluje proces aktualizace a pomáhá zastavit šíření ohrožení zavřením Window of
Vulnerability (Okna zranitelnosti). ePolicy Orchestrator též umožňuje zvládat kombinované hrozby na celém
internetu, včetně vzdálených uživatelů či poboček, dokonce i v případě, kdy nejsou napojené na síť korporace.
Jakékoliv připojení na internet dovoluje identifikátoru a serveru ePolicy Orchestrator komunikovat a sjednotit
management mobilních uživatelů. Dokonce i konzole administrátora může být připojena dálkově.
Uzavřením přístupu ke klientovi spojuje McAfee Firewall prvotřídní ochranné zabezpečení stolních počítačů
a softwarové řešení pro identifikaci neoprávněného proniknutí. Desktop Firewall umožňuje kontrolu veškerého
provozu přicházejícího a odcházejícího z firmy, zamezuje přístup a spojení založené na centrálně definované
strategii pro adresy, porty, protokoly a aplikace. Desktop Firewall chrání stolní počítače proti zlovolným kódům
a hackerům pomocí kombinace prvotřídního ochranného zabezpečení pracovní plochy a softwarového řešení
identifikace proniknutí. Funguje jako „dopravní policista“ pracovní plochy počítače, který umožňuje spojení
známým uživatelům a zamezuje přístup pro hackery, zlovolné kódy, DDoS (Distribuované popření služby)
a zranitelné nebo neautorizované aplikace. IDS (Systém pro zjišťování neoprávněného proniknutí) představuje
první linii obrany blokující běžné hackery, Trojské koně, DDoS a ostatní ohrožení, zatímco ochranné
zabezpečení představuje druhou linii ochrany s robustním balíkem filtrů a posílením strategie na úrovni aplikací.
Desktop Firewall snižuje Window of Vulnerability (Okno zranitelnosti) uzavřením stolních počítačů a serverů
již před napadením.
Jednou z nejvíce oceňovaných charakteristik Desktop Firewall je snadné a vizuální řízení. Díky ePolicy
Orchestrator může Desktop Firewall provádět operace viditelné pro uživatele, kontrolovat, co přichází a odchází
z počítače. Následně je schopen zablokovat spojení dle strategií pro adresy, porty, protokoly a aplikace. Tyto
strategie mohou být předurčeny uživatelem nebo administrátorem. Desktop Firewall chrání stolní počítače před
útoky zevnitř i mimo síť korporace a může zabránit zlovolným kódovým útokům jakmile se objeví v dosahu
firmy. Desktop Firewall odhaluje neoprávněné proniknutí a spojení aplikací, zablokuje je, zaznamená událost
a podá zprávu administrátorovi skrze ePolicy Orchestrator.
1.2
T-Minus 3 měsíce: Vyspělé techniky detekce nových ohrožení a ochrana před
spamy
Dnešní ohrožení útočí s překvapující rychlostí a dravostí. Firmy jsou zranitelné v každém okamžiku. Vyspělé
heuristické a generické metody detekce zabudované ve všech antivirových produktech McAfee Security
minimalizují riziko dodáním vyspělé ochrany před 40 procenty nových, neznámých ohrožení – zmenšením
Window of Vulnerability (Okno zranitelnosti). Přísné, nezávislé testy a reálné použití prokázaly, že vyspělé
metody detekce McAfee Security přináší úspory, vyřazují nutnost pohotovostních virových stahování dat
a jejich distribuci, prostoje uživatelů a náklady na odvirování.
Heuristická analýza zahrnuje vyzkoušení kódu v souboru a určení, zda obsahuje instrukce podobné viru. Pokud
počet viru podobných instrukcí překročí definovanou hranici, jsou instrukce označeny za pravděpodobný virus.
Zákazník je poté požádán o předložení vzorku pro další analýzu. Heuristické vyhledávání McAfee Security je
vyladěno tak, aby se vyhnulo falešnému poplachu.
Generické vyhledávání a odvirování zahrnuje pečlivé vytvoření definice viru tak, aby se odhalily i různé
varianty určité virové skupiny. Vzhledem k tendenci úspěšné viry opakovat, jsou zákazníci McAfee Security,
pokud se další variace viru objeví, s velkou pravděpodobností již chráněni. Generická detekce kontrolovaná
prostřednictvím DAT (virové definování souboru ) zároveň poskytuje odvirování. Generické a heuristické
techniky se navzájem doplňují, společně poskytují prvotřídní proaktivní detekci virů a umožňují řešení McAfee
Security s předstihem identifikovat nová ohrožení.
Vzhledem k tomu, že zlovolné kódy mohou být transportovány několika způsoby - soubor .EXE, skript,
dokonce i jednoduchá textová zpráva obsahující hoax (podvodný poplach), která marní váš čas, je základem
filtrace elektronické pošty . Přístroje McAfee WebShield® integrují antivirus a software pro management
obsahu s rozšířeným hardwarem, jehož schopnosti filtrovat obsah mohou zkontrolovat předmět, obsah zprávy,
260
název přiloženého souboru, typ a velikost každého SMTP (jednoduchý protokol elektronické pošty) emailu.
Zároveň umí zkontrolovat obsah přiloženého souboru.
Řešení WebShield jsou velmi přizpůsobivá. Umí zkontrolovat až 160 000 emailů za hodinu nebo 2 MB provozu
HTTP za vteřinu. Hromadné aplikace WebShield mohou být automaticky instalovány a sdíleny, jsou snadno
dostupné a poskytují možnost obnovy po selhání. WebShield tak poskytuje vynikající obranu proti spamu, který
je rostoucím celosvětovým problémem pro firmy na celém světě. Vlastnosti aplikace WebShield zabezpečují,
aby organizace oproti své vůli spam dále šířila. Podpora právního odvolání může připojit standardní odvolání na
konec odcházejícího emailu a podpořit tak legální a bezpečnostní strategie firmy.
Dodatečnou protispamovou detekci pro servery a stolní počítače můžete získat u souboru produktů McAfee
SpamKiller™. SpamKiller má systém hodnocení, který zaznamenává emaily na základě série testů. Je založený
na SpamAssassin™, který má vysoké schopnosti detekce spamů kombinované s nízkou odchylkou v chybném
hodnocení. Je naprosto přesný, což mu umožňuje odchytit více než 95 procent spamů ještě před schránkou
s chybou v detekci menší než 0.05 procent. Produkty řady SpamKiller posilují proaktivní přístup McAfee
Security s pětiúrovňovým přístupem k detekci.
1.3
T-Minus 0 měsíců: Integrovaná ochrana na několika frontách
Při výskytu viru je nutná rychlá reakce. McAfee Security poskytuje základnu rychlé odezvy, která je součástí
proaktivní strategie managementu při ohrožení. T-minus 0 McAfee Security poskytuje několik zařízení pro
rychlé odvrácení ohrožení zavřením Window of Vulnerability (Okno zranitelnosti):
•
Internetová hlídka
•
Rychlé doručení definice viru
•
Ochrana mobilních přístrojů
•
Management v momentu napadení
Internetová hlídka vloží kontrolní schopnosti McAfee Security (získaly několik ocenění) do zabezpečovacího
zařízení firmy a neustále (24 hodin denně, 365 dní v roce) sleduje výskyt zlovolných kódů na internetu. Využívá
heuristických a generických detekcí při vyhledávání nových ohrožení.
1.4
AVERT
Rychlé dodání definice viru je poskytováno prostřednictvím McAfee AVERT™ (AntiVirus Emergency
Response Team), což je světová vedoucí výzkumná organizace. AVERT tým se skládá z více než 90 lidí
v 6 různých kontinentech. Je zodpovědný za poskytování pomoci a řešení při závažných kalamitách jako
LoveLetter, CodeRed, Nimda a SQL Slammer. Potenciální ohrožení, která jsou postoupena McAfee AVERT
jsou zpracovávána s mimořádnou rychlostí a naléhavostí. Více než 40 procent vzorků dodaných AVERT je
automaticky zpracováno. To zahrnuje analýzu revolučním systémem WebImmune™ AVERT. Uvedený na trh
v září 2000 (první na webu založený skener virů), WebImmune připravuje analýzu a řešení v reálném čase.
Provádí vyspělou automatickou analýzu vzorků během 90 vteřin. Jakmile se objeví nové ohrožení, AVERT
rychle dodá definici viru a pomáhá rychle uzavřít Window of Vulnerability (Okno zranitelnosti). McAfee
AVERT drží zatím neporazitelný rekord v rychlosti odezvy na nová ohrožení. Je první organizací, která
reagovala na 75 procent hlavních ohrožení bezpečnosti, která se objevila v roce 2002. AVERT dodává
pohotovostní definici viru hlášení emailem a základní informace o povaze nového ohrožení.
V případě červa SQL Slammer, tak jako v případě ostatních velkých kalamit, pokročil McAfee AVERT o krok
dále. Vytvořil McAfee Stinger™, skener dle požadavků, speciálně vytvořený pro SQL Slammer. Můžete si ho
stáhnout z webových stránek AVERT (www.avertlabs.com). Tento skener (650 kb) funguje buď zcela samostatně nebo prostřednictvím ePO, které může dočasně skener nainstalovat, kontrolovat uzly a odvirovat počítač.
Stále větší roli v minimalizování Window of Vulnerability (Okno zranitelnosti) hraje také ochrana mobilních
přístrojů. Čím více uživatelé spoléhají na smart telefony, PDA a ostatní bezdrátové přístroje, tím více se zvyšuje
riziko infikování firmy virem.
VirusScan®Wireless chrání před infikováním pomocí komplexní ochrany pro široké spektrum kapesních
přístrojů působících na platformách PalmOS, PocketPC, Windows CE a Symbian EPOC. Sítě firem se nacházejí
261
v největším nebezpečí, když uživatelé synchronizují své PDA s PC. Tomuto nebezpečí může zabránit
VirusScanWireless, který se během synchronizace aktivuje a zkontroluje tak všechny soubory a možnosti virové
infekce. VirusScanWireless také zahrnuje kontrolu přístroje PalmOS.
Management při napadení je třetím a závěrečným elementem strategie McAfee Security, který pomáhá zavřít
Window of Vulnerability (Okno zranitelnosti). McAfee Outbreak Manager™ analyzuje aktivity v přístupové
bráně nebo emailovém serveru, filtruje emailový provoz dle specifických charakteristik a odvrací útok předtím,
než se mu podaří proniknout antivirovou obranou firmy. Outbreak Manager je součástí McAfee Security
antivirových skenerů založených na emailu, včetně WebShield SMTP (jednoduchý protokol elektronické pošty)
a produkty GroupShield™. Je to systém managementu napadení založený na pravidlech, který dovoluje
administrátorům stanovit několikero pravidel specifických pro individuální prostředí. Každé pravidlo má
4 součásti: spouštěč, práh, reakci a akci (akce). Může být např. stanoveno pravidlo pro spuštění v případě, že
server přijme 24 stejných příloh během 20 minut.
Po aktivaci spouštěče reaguje Outbreak Manager dvojím způsobem: automaticky nebo manuálně. Automatická
odezva zahájí první, již předem stanovenou akci. Jestliže i po té je spouštěč stále aktivován, Outbreak Manager
zahájí další předem konfigurovanou akci. Manuální odezva vybídne administrátora k provedení předem
stanovené doporučené akce. Outbreak Manager také umožňuje kombinaci těchto dvou možností. Pokud pevně
stanovíme pracovní dobu administrátora, může být determinováno pravidlo, které spustí manuální odezvu
v těchto hodinách a mimo ně pak odezvu automatickou.
2 Proaktivní ochrana v akci
Následující příklad uvádí, jak produkty McAfee Security poskytují integrovanou proaktivní detekci ohrožení
a zablokování kombinované hrozby Bugbear, které se v roce 2002 objevilo ve zprávách po celém světě.
1. krok: Detekce ohrožení
Bugbear je hromadný email, který se snaží využít zranitelnosti Microsoft Internet Explorer5 – konkrétně:
nesprávná MIME hlavička může způsobit, že IE spustí emailovou přílohu. To zaručuje automatické zavádění
Bugbearu již ve chvíli, kdy uživatel pročítá infikovaný email - i bez dvojkliknutí na infikovanou přílohu.
Skenery pro internetové přenosové brány McAfee Security objeví vzorky využívající této zranitelnosti jako
Exploit-MIME.gen nebo Exploit-MIME.gen.exe užívající 4213 DAT nebo vyšší. Tyto produkty byly schopné
odhalit toto ohrožení již 2 měsíce předtím, než se objevilo. McAfee ThreatScan také obsahuje detekci pro tento
typ zranitelnosti.
2. krok: Ochrana proti útoku
Jakmile se Bugbear zavede, otevře hostující port 36794 na počítači oběti a hledá dlouhý seznam antivirových
a bezpečnostních procesů. Pokud je najde, ihned je vyřadí z provozu. Při napadení Bugbear nebo při podobném
kombinovaném útoku poskytují aplikace McAfee Desktop Firewall a ThreatScan efektivní způsob ochrany pro
firmy a společnosti. Desktop Firewall může zablokovat port, zatímco ThreatScan identifikuje přístroje sítě, které
nejsou chráněny antivirovými programy a upozorní administrátora na jejich zranitelnost.
3. krok: Zablokování rozšíření ohrožení
Pro rozšiřování po síti využívá Bugbear otevřeného sdílení. McAfee může toto ohrožení zastavit pomocí
ThreatScan, který identifikuje otevřená sdílení na síti a Desktop Firewall, které umožní zablokovat komunikaci
na síti. Bugbear navíc používá svůj vlastní SMPT engine a sám se hromadně rozešle. Není závislý na Microsoft
Outlook. Desktop Firewall umožní administrátorovi předejít rozšíření Bugbear zúžením možnosti rozeslání
emailu pouze na Outlook. Při svém rozšiřování používá Bugbear náhodná témata pro záhlaví emailu a názvy proto pravidla obsahu proti tomuto ohrožení nepomohou. GroupShield a WebShield však mohou zablokovat
specifické rozšíření souboru. V případě Bugbear a podobných ohrožení zablokování .EXE souborů zastaví
ohrožení u přenosové brány, oddělí klíčovou cestu infekce a omezí proniknutí obranou korporace.
4. krok: Uzavření Window of Vulnerability (Okna zranitelnosti)
Rafinovanost kombinovaných ohrožení jako Bugbear, Klez, CodeRed, Nimda a SQL Slammer rychle zahltí
pracovníky IT, kteří mají omezené časové možnosti a zdroje. Pokusy reagovat manuálně jsou rychle udolány
rychlostí a dravostí ohrožení. Proaktivní obrana McAfee Security je integrovaný, nejrychlejší a nejefektivnější
způsob uzavření Window of Vulnerability (Okno zranitelnosti), zajišťující rychlý a trvalý výkon počítačové
infrastruktury v rámci firmy.
262
Bezpečné uložení klíčů
Patrik Mičech
[email protected]
RAISA, spol. s r. o.
Plynárenská 671, 280 00 Kolín
1 Marketingová studie
K myšlence vývoje a výroby úložny klíčů jste nás přivedli Vy, naši zákazníci. Instalovali jsme Vám rozsáhlé
zabezpečovací, požární, kamerové a docházkové systémy, ale nemohli jsme Vám nabídnout skutečně
profesionální plně elektronický systém na ukládání klíčů, zbraní a mobilních telefonů, protože takový systém
nikdo nevyráběl. Rozhodli jsme se takový systém vyvinout a vyrobit.
2 Vývoj
V lednu roku 1999 jsme sestavili tým odborníků s bohatými zkušenostmi s vývojem elektronických zařízení
a bezpečnostních technologií. Jejich úkolem bylo připravit výrobek, který bude splňovat nejpřísnější normy
ČSN, ISO, NBÚ a bude mít životnost minimálně 15 let. Oslovili jsme přední české a zahraniční společnosti
vyrábějící elektronické součástky, software a v neposlední řadě trezory. Po náročných jednáních techniků,
obchodníků a výrobců se začal rýsovat prototyp s názvem úložna klíčů UK 20. První vyrobená úložna UK 20
nás všechny velmi mile překvapila a dala nám důkaz, že naše snažení nebylo marné a Vy naši partneři budete
spokojeni.
Ale žádný vývoj není tak snadný, abychom i my ještě nemuseli trávit další měsíce zkouškami a testováním.
Nakonec jsme uspěli a úložna klíčů splňuje normy ČSN, je certifikovaná Vojenským technickým ústavem
elektrotechniky a firmou Trezor- test, je vyráběna dle standardů ISO 9002.
Obr 1: Vývoj mechanické části úložny klíčů
3 Parametry systému
Co je vlastně úložna klíčů?
Zařízení, které umožňuje bezpečné uložení klíčů s možností evidence jejich výběru, uložení a přítomnosti
klíčové schránky a umožňuje výdej a příjem klíčových schránek ve stanoveném období. Mechanické uložení
klíčů je řešeno pomocí kovové schránky s pečetidlem. Tato se potom ukládá do určené kovové zásuvky, která je
elektromechanicky zajištěna společně s ostatními v celokovové skříni. Elektronicky je evidováno otevření
a zavření zásuvky a přítomnost nebo nepřítomnost vnitřní kovové schránky s klíči.
263
Na základě identifikace uživatele (po přiložení platné bezkontaktní karty a potvrzení zadáním PIN-kódu) se po
zvolenou dobu uvolní příslušné zásuvky (optická signalizace doby uvolnění u příslušné zásuvky pomocí svítící
diody), ze které uživatel vyjme zapečetěnou schránku s klíči. Po ukončení manipulace s klíči je uživatel vrátí
zpět do schránky, schránku zapečetí svým osobním pečetidlem a na základě přiložení karty a zadání PIN-kódu ji
vrátí zpět do zásuvky. Veškeré časové údaje o pohybu schránek jsou zaznamenávány a určeny pro další
zpracování (tisk, uložení v PC).
Systém umožňuje různá časová nastavení pro výběr a uložení schránek a alarmové stavy při jejich nedodržení.
Totéž se projeví při neoprávněné manipulaci nebo při pokusu o násilné otevření zásuvky. Zařízení je možné
připojit do EZS, zajišťující ostrahu prostoru nebo objektu.
Systém má zálohované napájení pro případ úmyslného nebo neúmyslného přerušení dodávky napětí rozvodné
sítě. Pro případ nouze může oprávněná osoba zadat osmimístný kód pro odblokování všech schránek.
Celý systém je ovládán řídící jednotkou, která ovládá elektromagnetické zámky jednotlivých zásuvek a snímá
pomocí zásuvkových kontaktů přítomnost nebo nepřítomnost schránky s klíči. Nedílnou součástí zařízení je
snímač karet, napájecí zdroj 230V a zálohovací zdroj UPS, včetně baterie. Celý systém doplňuje klávesnice
s displejem a vytváří tak ucelenou samostatnou autonomní jednotku plnící popisované funkce. Pomocí klávesnice se nastavuje celý systém.
Obr 2: Úložna klíčů UK20
4 Zkušenosti
Po instalaci desítek kompletních systémů UK 20, UK 7 a UT 20 jsme získali obrázek o tom, co Vám náš
výrobek přináší za výhody, proto zmíníme několik konkrétních případů. Většina našich zákazníků v minulosti
vkládala klíče do plechových krabiček s pečetí, které fyzicky hlídal dozorčí a zapisoval do knihy datum, čas
a osobu, které klíče vydal. Jistě mi dáte zapravdu, že v době počítačů a GSM technologií to byl systém poněkud
zastaralý. Navíc zde hrozilo selhání lidského faktoru. tento systém v podstatě neumožnil adresnou kontrolu,
nemluvě o možnosti falšování a obcházení. Další negativa již není třeba uvádět, a proto popíšeme pozitiva.
Nový systém zabezpečení s úložnou klíčů je následující. Do vestibulu budou Vám naši technici prověření
Národním bezpečnostním úřadem nainstalují na zeď během 120 minut úložnu klíčů. Následně vyškolí Vámi
pověřenou osobu, která bude plnit funkci administrátora a přidělí ostatním uživatelům jejich přístupové kódy
včetně oprávnění, k jakým klíčům mají přístup. Samotní uživatelé tak po přiložení karty a zadání PIN kódu mají
přístup pouze ke svým klíčům. Výběr a ukládání klíčů je on-line monitorován a archivován jak v úložně klíčů,
tak na počítači dozorčího, vrátného apod. Díky tomu nemůže nastat situace, kdy se neví, kdo si klíče vyzvedl,
v kolik to bylo hodin. Nemluvě o tom, že pokud by se někdo snažil získat klíče násilím, je spuštěn alarm, pokud
někdo zadá opakovaně chybný PIN je okamžitě tato událost zaznamenána. Náš systém vedoucím pracovníkům
umožňuje tzv. audit, což znamená, že si lze na monitoru prohlédnout například průběh událostí ve zvolený den,
historii manipulace s klíči určitého uživatele apod. Zpětný kontakt na zásuvkách za dozorčího neustále
kontroluje vložení schránek, například klíč číslo 16 od spisovny musí být uložen do 17.00 hod., pokud se tak
nestane, úložna klíčů o této chybě informuje dozorčího, v případě že ani dozorčí nereaguje je díky propojení
264
úložny s EZS spuštěn alarm, eventuálně přivolána zásahová jednotka. Další možnosti a výhody systému Vám
doporučujeme vyzkoušet osobně.
Obr 3: Sestava 80-ti schránek (UK20 + UK30 + UK30)
5 Inovace
Ve spolupráci s našimi zákazníky jsme se rozhodli pro inovaci úložny klíčů a pro výrobu úložny telefonů UT 20
a úložny zbraní UK 7. Všechny výrobky pracují na podobném principu, což umožňuje Vám coby uživatelům
ještě kompaktnější ochranu vašich osob, vašeho majetku. Součástí inovace byl v neposlední řadě vývoj softwaru
pro ještě jednodušší a komfortnější práci s výrobky naší firmy Raisa, spol. s r.o.
5.1
Vizualizace - software umožňující pohodlné ovládání úložen klíčů UK 20 a UK 30
včetně jejich programování a monitorování.
Vizualizace je instalována v počítači dozorčího, vrátného nebo dispečera. Jedná se o software, díky kterému
může zákazník v on-line přenosu sledovat stav v úložně klíčů a průběh událostí (počet vydaných schránek, počet
volných schránek, pokus o nedovolený přístup, alarmní stav, zadání špatného PIN-kódu, atd.). Slouží mimo jiné
k nastavování provozních parametrů, přístupových kódů, dobu výběru schránek, PIN-kódy, čísla karet,
přidělování schránek jednotlivým uživatelům ze vzdáleného pracoviště. Vizualizace slouží také k archivaci
událostí – je možné vytisknout statistiku zvoleného uživatele, vybrané schránky, dne apod. Tento software
splňuje požadovaná kritéria pro docházkové systémy.
5.2
Možnosti využití
Policie, bezpečnostní služby, banky, elektrárny, plynárny a všichni zákazníci, kteří potřebují mít klíče v bezpečí
a stálou kontrolu nad svými klíči a zaměstnanci.
265
Obr 4: Hlavní obrazovka vizualizace
6 Úspěch
Úspěch je slovo pomíjivé a je těžko měřitelný, přesto se domníváme, že instalace bezmála stovky úložen klíčů
úspěchem je. Úložny slouží mimo jiné Armádě ČR, která je využívá hlavně z důvodu, že jsme splnili požadavky
směrnice NATO AMSG – 293F a C-M (2002)23 schválených vojenským výborem NATO pro fyzickou ochranu
zabezpečených oblastí.
Jako velikou čest si považujeme instalaci našeho systému v budově Generálního štábu AČR.
Jako důkaz našich tvrzení o bezpečném a profesionálním uložení klíčů slouží fakt, že za celou dobu používání
našich výrobků nebyl zaznamenán jediný případ překonání nebo dokonce neoprávněného vniknutí do úložen
klíčů.
Obr 5: Úložny klíčů v praxi
7 Budoucnost
Budoucností a naším společným cílem bude chránit lidské životy a náš majetek pomocí nejmodernějších
technologií proti všem extrémistickým a fanatickým skupinám, kterých bohužel přibývá. Raisa, spol. s r.o. proto
pro Vás připravuje další výrobky, které budou pomáhat udržovat bezpečnost na vysokém standartu.
266
Legato NetWorker
automatický systém zálohování pro CSA
Zdeněk Lerch
[email protected]
Servodata s.r.o.
Dolnoměcholupská 12, 102 00 Praha 10
Abstract
Zálohovací systém Legato NetWorker se z mnoha důvodů stává rychle standardem pro podnikové uživatele.
Kombinace vlastností, které jsou podrobně diskutovány v tomto dokumentu, je příčinou toho, že zálohovací
systém Legato NetWorker má jednu z nejvyšších a nejrychlejších návratností investic.
1 Úvod
S vypuštěním Alouette v roce 1962 se stala Kanada po Rusku a Spojených Státech třetím státem ve vesmíru. Se
zahájením páté dekády ve vesmíru, má Kanadský vesmírný úřad – Canadian Space Agency (CSA) dlouhou
tradici v atmosférickém a ekologickém výzkumu založeném na vesmírném zkoumání a vyvinul špičkovou
technologii v telekomunikacích a přímo vysílajících satelitech. CSA působí jako partner USA, Ruska, Japonska
a Evropské vesmírného úřadu (ESA) na Mezinárodní vesmírné stanici, a proniká do vysoce konkurenčního
globálního trhu observatoří Země a vesmírné robotiky. CSA má přibližně 350 zaměstnanců, 225 dodavatelů a 50
studentů. Většina pracuje ve vesmírném středisku Johna H. Chapmana, vedení úřadu sídlí v Saint-Hubert,
v Quebecu, v Kanadě. Dalších 80 lidí pracuje v kanadském hlavním městě Ottawě v laboratoři David Florida
a na dvou dalších místech.
Ve spolupráci s univerzitami, výzkumnými a vývojovými středisky odvětví a jinými vládními institucemi
v Kanadě, přispívá CSA k posílení vedoucí pozice v oblastech Země a ekologie, vesmírné vědy, lidské
přítomnosti ve vesmíru, satelitních komunikací a vesmírných technologií.
1.1
Náklady na prostoje $500 000 CND denně
CSA vytváří, shromažďuje a ukládá mnoho druhů citlivých a pro provozuschopnost nezbytných informací, které
nesmějí být v určitých případech, jako např. když se provádějí experimenty ve vesmíru, nikdy zaměněny.
„Našimi nejcennějšími daty jsou vědecké výsledky“, řekl Robert Dominque, vedoucí správce systému UNIX pro
CSA, „zejména data, která jsme obdrželi z vesmíru. Možná ztráta informací by nejen vážně ohrozila budoucí
vesmírnou misi, ale mohla by negativně působit na vztahy, které máme s našimi partnery v oboru, v akademickém světě a s jinými státy. Proto je důležité ovládat přístup k těmto zdrojům dat s nejvyšší odpovědností.“
CSA měl potíže se zálohováním, ukládáním a vyhledáváním svých dat. Úřad používal různé nekompatibilní
zařízení a metody zálohování, které měly za následek nepravidelné a nepředvídatelné zálohování jeho různých
systémů.
„Během minulých několika let“, pokračoval Dominique, „ jsme se potýkali s poruchou několika zálohovacích
zařízení a nebyli jsme schopni přečíst data uložená na nekompatibilním médiu. V některých případech
vyžadovala obnova dokonce i malého množství dat závažnou manipulaci trvající několik dní, jen aby se zjistilo,
že původní záloha byla neúplná. Celková porucha našeho systému by měla finanční dopad v rozmezí 500 000
kanadských dolarů za jeden den. Toto si jednoduše nemůžeme dovolit.“
1.2
Legato NetWorker byl vybrán jako zálohovací standard pro CSA
CSA chtěl nahradit svůj eklektický systém zálohování jednoduchým, standardizovaným systémem, který by byl
kompatibilní s četnými desktopovými a síťovými operačními systémy Úřadu. Po prozkoumání a otestování
předních systémů na trhu, si CSA vybral Legato NetWorker jako svůj standard pro zálohování v celé agentuře.
267
„Náš nový systém musel podporovat široké spektrum operačních systémů,“ vysvětloval Dominque. „Při výběru
Legato nás také ovlivnilo a bylo podstatné to, že je schopný podporovat operační systémy VMS a Mac. V době,
kdy jsme přecházeli ze sítě Banyan Vines na Microsoft Windows NT a potřebovali jsme do budoucna zajistit
kontinuitu, dokázal NetWorker dostát svým slibům a integrovat se do všech našich různých platforem
a vykazovat vysokou výkonnost a vysokou spolehlivost, která nám dává pocit jistoty, že naše data budou
pokaždé zálohována úplně a správně.“
1.3
Automatizace umožňuje uživatelům obnovit data
Panu Dominque se také líbí ta skutečnost, že zálohy NetWorker jsou prováděny automaticky bez lidského
zásahu, a vše od zálohovacích serverů až po média pro ukládání (storage media) je standardizováno.
„NetWorker nám umožňuje pracovat po pracovní době, kdy jsou prováděny plánované zálohy bez nutnosti toho,
aby správce dohlížel na průběh nebo vyměňoval pásky. Našim uživatelům se také líbí ta skutečnost, že mohou
obnovit data tak, jak jim vyhovuje - i když my můžeme tyto události monitorovat a ponechat si jejich řízení.
Tyto vlastnosti šetří čas našich správců, a uživatelé mají přístup ke svým souborům kdykoliv, ve dne v noci
a o víkendech,“ vysvětloval Dominque.
CSA provádí úplné zálohování v 28mi denním cyklu s diferenciálním zálohováním každý týden a ještě častějším
inkrementálním zálohováním. Toto minimalizuje potřebu obnovy z pásky, zatímco je zajištěna dobrá integrita
dat a zálohování všech nových a modifikovaných dat každý večer.
Technologie Legato chrání tři datové zóny CSA. Jedna datová zóna, ve vedení v St-Hubert provozuje hlavní
server NetWorker, Sun E450 připojený k StorageTek 9710 jukeboxu a pět mechanik DLT7000. Druhá datová
zóna je umístěna v Ottawě v Laboratoři pro vesmírnou kvalifikaci a certifikaci (Space Qualification and
Certification Lab), která provozuje NetWorker na stroji Dell s Windows 2000, který je připojen k dvěma
jukeboxovým mechanikám DLT7000. Toto vybavení zálohuje také servery umístěné v menších kancelářích
CSA v oblasti Ottawy. Poslední datová zóna je chráněna Sun E250 s 30ti páskovou mechanikou a dvěma
jukeboxy DLT7000.
1.4
NetWorker hraje klíčovou roli v certifikaci ISO 9000
Systém NetWorker je kompatibilní s mnoha operačními systémy v CSA – Windows NT, 95, 2000, SGI, Tru64,
HPUX, Solaris, Linux, VMS a MacOS – a zálohuje v Úřadu servery Oracle , servery SAP s obchodními moduly
a mnoho aplikací: e-mail, finanční, vědecké, počítačové grafické programy (CAD), dálkové měření, simulační
modelování, vědecký software, a jiné kancelářské aplikace. NetWorker hraje významnou roli v certifikaci úřadu
normou ISO 9000 tím, že zálohuje a umožňuje rychlou obnovu technické dokumentace.
„Naše stěžejní informace jsou nyní zálohovány vysoce spolehlivým a automatickým systémem“, tvrdí
Dominque. „Skutečnost, že nám NetWorker umožňuje kdykoliv přístup k datům nezměrně zvýšila důvěru
našich uživatelů v technologii Legato a v schopnost našeho týmu informační technologie (IT) poskytnout služby
na vynikající úrovni, která splňuje nebo překračuje jejich požadavky. Náš IT tým je nyní žádaný, a je vyhledáván pro poskytování řešení a služeb pro vyvíjející se a rozšiřující se klientelu uživatele.“
1.5
NetWorker snižuje přesčasy zaměstnanců, vytváří úspory
NetWorker také šetří čas a peníze CSA tím, že snižuje přesčasy svých zaměstnanců IT a eliminuje nutnost
pohotovostního režimu pro základní kádr pracovníků.
„NetWorker vytváří úspory,“ poznamenal Dominque, „snižováním počtu typů a množství pásek, které
potřebujeme pro zálohování našich systémů. V návaznosti na to velice prospělo našim detašovaným pracovištím,
že mohli snížit stav podpůrných zaměstnanců, potřebných k vytváření a zasílání kopií záloh do tří datových zón.
Cítíme se jistí a bezpeční, když víme, že NetWorker chrání naše data.“
CSA plánuje k NetWorkeru přidat dvě Storage Area Networks (SAN) tak, aby mohl provádět zálohy bez
serveru. Také se uvažuje o přidání Legato NetWorker Administration, aby bylo lépe řízeno prostředí
NetWorkeru, obnovení elementárních funkcí systému, řešení pro zálohování přenosných PC a statistický modul.
„Jsme zjevně potěšeni řešením Legato a podporou, kterou jsme dostali“, řekl Dominique. „Těšíme se na
dlouholetou spolupráci s Legato“.
268
1.6
Společnost CSA
Kanadský vesmírný úřad – Canadian Space Agency (CSA) má dlouhou tradici v atmosférickém a ekologickém
výzkumu založeném na vesmírném zkoumání a vyvinul špičkovou technologii v telekomunikacích a přímo
vysílajících satelitech. CSA působí jako partner USA, Ruska, Japonska a Evropské vesmírného úřadu (ESA) na
Mezinárodní vesmírné stanici, a proniká do vysoce konkurenčního globálního trhu observatoří Země a vesmírné
robotiky.
2 Daewoo Securities standardizuje pomocí LEGATO AAM řízení svých
podnikových aplikací
Aby zůstala finanční instituce konkurence schopná v současném vysoce technickém světě, musí nabízet svým
zákazníkům 24/7 přístup k jejich portfoliům, a zachovávat 24/7 kontakt s globální obchodní komunitou. To je
těžký úkol. Ale důsledky neposkytování takovéto úrovně služeb by mohly znamenat rozdíl mezi vedoucím
místem v oboru a jen přežíváním. „Naše předřazené a záložní aplikace jsou srdcem a duší našeho podnikání,“
řekl Yoo, Dong Sik, Deputy Manager, Daewoo Securities. „Prostoje, natož ještě ztracená data, to jednoduše není
pro nás možnost volby. To by mohlo mít za následek velmi nespokojené zákazníky a dokonce soudní proces.
Proto jsme označili ochranu dostupnosti našich aplikací, databáze Oracle 8i, a dalších prostředků serveru
nejvyšší prioritou.
Daewoo chtěla spolehlivé, jednoduché řešení, které by poskytovalo vysokou dostupnost svých kritických úloh.
Po prozkoumání několika vedoucích prodejců na trhu, si vybrali LEGATO AAM jako globální standard pro
řízení svých aplikací v celém podniku. „Vysoká výkonnost, prokázaná spolehlivost LEGATO AAM bylo přesně
to řešení, které jsme hledali,“ řekl Yoo. „Navíc výhodná cena a kvalita produktu LEGATO ho učinila
mimořádně hodnotným. I když rozmístíme NetBackup od Veritase jako naše řešení pro zálohování, zvolíme si
LEGATO AAM pro jeho nepřerušovanou kompatibilitu s NetBackup a jeho kvalitnějšími znaky a výhodami.“
2.1
LEGATO AAM: Vysoká výkonnost, škálování, jednoduché řízení
LEGATO AAM udrží servery a aplikace Daewoo dostupné během failover (automatické přebírání kyber
kapacity v době výpadku), plánované systémové údržby a jiných kritických situací. Jakkoliv by měla nějaká
aplikace selhat, LEGATO AAM ji okamžitě restartuje, při zajištění nepřerušení výkonnosti. Navíc se může
během normální pracovní doby provádět údržba a obchodní operace. „Naše data a aplikace jsou náš obchod“,
vysvětluje Yoo. „Jsou vysoce důležité. V minulosti jsme měli výpadky programů. Naštěstí jsme problém rychle
zachytili a napravili situaci, ale následky by mohly být karastrofické. Díky ochraně, kterou jsme dostali od
LEGATO AAM, se již více neobáváme výpadků programů. LEGATO nám dává skutečný klid v duši.“
LEGATO AAM monitoruje podmínky, které předvídají poruchu, a když je to nutné, upozorní správce sítě tak,
aby mohly být problémy ihned řešeny. LEGATO AAM má senzory, které umožňují správcům aktivně
monitorovat status sítě, serverů, síťových propojovacích desek (NIC), disků a dalších. Informace o stavech
shrnuté ve zprávě o dostupnosti aplikace (Application Availability Tracking Reports) zajišťují aktivnější řízení
na úrovni servisní služby oproti reagování na jednu krizi za druhou. LEGATO AAM je také navrženo tak
škálovitě, aby odpovídalo potřebám největší klastrové konfigurace, takže může růst spolu s Daewoo. Navíc jeho
centrální řídící konzole umožňuje správcům Daewoo ovládat LEGATO AAM prakticky z jednoho PC.
„Inovativní schopnosti LEGATA nejen téměř garantují to, že jsou naše aplikace vždy online,“ řekl Yoo, „ale
šetří nám peníze na školení, podpoře a jiných provozních nákladech spojených s údržbou systému.“
2.2
Vysoká dostupnost po celém světě
LEGATO AAM poskytuje pro Daewoo ochranu jeho podnikání - sítě Solaris, která čítá 150 pobočkových
kanceláří a 1 500 uživatelů po celém světě. Kromě sítě Solaris, dodává LEGATO AAM automatizované řízení
vysoké dostupnosti napříč různými platformami včetně Sparc, Solaris Intel, HP-UX, AIX, Linux a Windows
NT/2000. Chrání podnikové aplikace, od ERP (plánování podnikových zdrojů) a emailu až po webové aplikace,
a může řídit dostupnost programů a služeb uvnitř prostředí Storage Area Network (SAN), Network Attached
Storage (NAS), Network File Systems (NFS), sdílených disků a umístění kopírovaných dat. „Líbí se nám
zejména modulový design produktu LEGATO AAM, který nám umožňuje udělit specifickým aplikacím, jako
naší databázi Oracle 8i, vyšší úroveň dostupnosti ,“ řekl Yoo.
269
ManTech International, společnost informačních technologií a řešení technických služeb byla klíčovým
partnerem při vývoji řešení pro Daewoo. Výsledné řešení je specificky navrženo tak, aby monitorovalo
prostředky a funkce 15ti klíčových systémů a databáze Oracle 8i a aby zajistilo kontinuální dostupnost. Řešení
také nabízí aktivnější monitorování a upozorňuje správce na situace předtím, než nastanou problémy. V případě
poruchy také automaticky přemístí služby databáze do náhradního umístění. „LEGATO AAM nám pomáhá
zvýšit úroveň služeb, které můžeme nabídnout našim klientů po celém světě,“ poznamenal Yoo. „Když nemají
naši klienti přístup ke svým finančním datům, ztrácejí v nás důvěru a my ztrácíme obchod. V oboru jako je náš,
kde jsou služby klíčovou diferenciací, nám dává LEGATO skutečně konkurenceschopnou přednost na trhu.“
2.3
Společnost Daewoo Securities
Daewoo Securities Company, Limited je firma s veškerými službami, zahrnujícími investice, bankovnictví
a makléřství, která má vedení v Soulu, v Koreji. Daewoo je manažer emise cenných papírů a jeden z hlavních
účastníků na virtuálních trzích. Díky své velikosti a pověsti, může společnost těžit se své široké základny
investorů při stanovení optimálních cen nových emisí a uspokojit tak potřeby jak investorů tak emitentů. Kromě
toho má Daewoo 1 500 zaměstnanců jakož i největší zahraniční síť poboček ze všech korejských investičních
bank (makléřství), které jsou umístěny v Bukurešti, Budapešti, Hong Kongu, Londýně, New Yorku, Šanghaji,
Taškentu a Curychu. V roce 2001 uvedlo Daewoo celkové jmění ve výši 6,8 trilionu KRW/ 5,7 miliardy US$.
2.3.1
•
Zajistit dostupnost24/7 pro kritické úlohy finančních aplikací.
•
Zavést škálovatelné, cenově výhodné řešení dostupnosti.
•
Rozvinout aktivnější systém, který předchází problémům předtím než nastanou.
2.3.2
Prostředí
•
Databáze Oracle 8i
•
T-Max Middleware
2.3.3
•
2.3.4
270
Výzva
Řešení
LEGATO Automated Availability Manager (AAM)
Obchodní hodnoty
•
LEGATO AAM dodává řešení globální vysoké výkonnosti, spolehlivosti a jednoduchého řízení vysoké
dostupnosti.
•
Dosahuje růstu spolu s Daewoo a šetří peníze na školení, podpoře a jiných nákladech.
•
Monitoruje klíčové funkce systému a aplikace, potom upozorní správce na kritickou situaci předtím,
než způsobí poruchu.
Řešení bezpečnosti perimetru pomocí
iForce Solutions for Security
Sun Microsystems
1 Úvod
Všude tam, kde dochází k centrálnímu ukládání dat, dnes stojí na jednom z čelných míst otázka bezpečnosti.
Není přitom podstatné, zda se jedná o prostředí intranetu, extranetu nebo Internetu.
Distribuovaná podstata datových center s prakticky neomezeným počtem přístupových bodů vystavuje tato
centra značnému nebezpečí. Jako příklady lze uvést neautorizovaný přístup některých uživatelů, úmyslné či
náhodné poškození dat, šíření počítačových virů a útoky proti aplikačním programům nebo síťové
infrastruktuře.
Řešení bezpečnosti perimetru pomocí komplexu iForceSM Solutions for Security nabízí společnostem vícevrstvý
systém, pomocí kterého lze účinně chránit jejich vitálně důležité sítě. Uvedené řešení spočívá v jednotném
integrovaném přístupu, který usnadňuje aktivní ochranu, detekci a identifikaci známých i nových metod
narušení nebo třeba počítačových virů, procházejících firewallem.
iForceSM Solutions for Security se vyznačuje třemi klíčovými rysy:
•
Prevence – představuje první linii obrany, chrání webové servery před zneužitím, odstraňuje známé
viry a zabraňuje zlovolným útokům. Vyžaduje zabezpečení daného výpočetního systému, správnou
konfiguraci aplikačních programů, kontrolu odstranění známých slabin, stanovení nezbytného minima
poskytovaných služeb a přípravu na reakci.
•
Detekce – znamená rychlé zjištění narušitelů, virů nebo červů, kterým se eventuálně podaří proniknout
firewallem nebo mající původ v interní síti. Zjišťování probíhá na různých bodech sítě a v ní
obsažených systémech. Výstupem je jednotný, centrální pohled, ve kterém se uplatní modularita,
systém priorit a korelace událostí.
•
Reakce – jakmile je detekováno narušení, musí být přijato adekvátní opatření, jehož cílem je omezit
riziko a zabránit dalšímu zneužívání systému. Dané řešení disponuje správními nástroji, které pomáhají
rychle popsat přesnou charakteristiku útoku (včetně nového) a navrhnout vhodnou reakci na něj.
Kromě toho lze nežádoucí aktivitu zpětně sledovat, což umožňuje bezpečnostním analytikům nalézt
zdroj útoku.
Komplex iForceSM Solutions for Security byl testován v prostředí serverů Sun, uzpůsobených pro umístění do
stojanu a integrovaných tak, aby je bylo možno ovládat jedinou správní konsolou.
271
2 Bezpečnostní problémy
Mnoho společností považuje za postačující ochranu firewall a antivirový program. Pro menší instituce toto
vyhovuje, avšak nikoliv už pro rozsáhlejší organizace se složitou strukturou a informační infrastrukturou. Ta
zahrnuje počítačové sítě, databázové a webové systémy, sdílené prostředky jako systémy souborů a data v nich,
elektronickou poštu tiskárny atd. Složitost ochrany spočívá v nemožnosti vymezit jednoznačně a dostatečně
přesně jednotlivé prvky.
Přístup k sítím musí být řádně chráněn před nevítanými uživateli, počítačovými viry a ostatními zlovolnými
útoky. Útoky mohou být iniciovány prostřednictvím zákaznických připojení, Internetu nebo vnitřních
prostředků; viry a ostatní nebezpečné programy také často pronikají prostřednictvím zdánlivě neškodných příloh
elektronických dopisů.
Současné viry, červi, monitorovací utility atd. se stávají stále sofistikovanějšími, proto společnosti potřebují
svoji ochranu dokonalejší metody, nežli je zmíněný firewall ve vstupním bodu sítě. Aby bylo možno úspěšně se
bránit proti stále agresivnějším útokům, jeví se v síťovém prostředí jako velmi vhodná distribuovaná ochrana,
rozčleněná do více složek.
3 Řešení bezpečnosti perimetru
Komplex iForceSM Solutions for Security integruje uživatelská rozhraní a bezpečnostní informace sedmi
komponent v síti na jedinou centrální konsolu tak, aby bezpečnostní administrátoři mohli potenciální útoky
rychle identifikovat, vyhledávat souvislosti a včas reagovat. Komplex iForce se skládá z těchto komponent:
•
Operační systém SolarisTM 8, zodolněný doplňkem SolarisTM Security Toolkit
•
firewall a virtuální privátní sítě - VPN/Firewall (Check Point Software Technologies, Ltd.)
•
detektor virů (Trend Micro, Inc.)
•
webový aplikační firewall (Sanctum, Inc.)
•
detektor průniku (Recourse Technologies, Inc.)
•
klamací a nástražný systém (Recourse Technologies, Inc.)
•
nástroj pro kontrolu integrity souborů (Tripwire, Inc.)
Bezpečnostně relevantní data poskytovaná všemi zdroji jsou předávána manažerskému programu společnosti
e-Security, Inc. Ten přiřazuje událostem priority a zobrazuje je; souběžně vyhledává mezi posloupnostmi
událostí z různých zdrojů souvislosti. Cílem je poskytnout administrátorům včasnou výstrahu, takže mohou
potenciální útoky zastavit ještě předtím, nežli způsobí škodu.
Uvedené elementy vzájemně spolupracují tak, aby vytvořily pružnou a odolnou bariéru vůči útokům
a průnikům. Tím doplňují ostatní bezpečnostní mechanismy, které představují např. autentizační a šifrovací
systémy.
3.1
Operační systém Solaris 8, Solaris Security Toolkit (prevence)
Komplex iForceSM Solutions for Security se opírá o operační prostředí Solaris zodolněné pomocí programového
balíku Solaris Security Toolkit. Vyšší míry bezpečnosti je dosaženo pomocí sady skriptů, které zajišťují:
272
•
blokaci nepoužívaných služeb
•
zvýšení úrovně potřebných přístupových práv
•
odstranění nadbytečných uživatelských účtů
•
aktivaci potřebných prvků
•
přidání výstražných textů, záhlaví apod
3.2
Firewall a virtuální privátní sítě - VPN-1/Firewall-1 - Check Point (prevence,
detekce, reakce)
Programové vybavení VPN-1/Firewall-1 firmy Check Point patří ve své oblasti ke špičce. Chrání soukromí
obchodních komunikací v Internetu a zabezpečuje kritické prostředky sítě vůči neautorizovanému přístupu.
Nabízí úplnou a integrovanou platformu pro internetovou bezpečnost.
3.3
Detektor virů - InterScan VirusWall - Trend Micro, Inc. (prevence, detekce,
reakce)
Produkt InterScan VirusWall firmy Trend Micro prověřuje elektronickou poštu, webový provoz a soubory
procházející přes bránu vedoucí do Internetu. Chrání společnost a pomáhá snížit celkové náklady na antivirovou
ochranu, neboť zamezuje šíření virů do interní sítě. Díky centrální správě dovoluje administrátorovi kdykoli plně
ovládat všechny aspekty ochrany před viry. Navíc je navržen tak, aby umožnil hladkou spolupráci s VPN1/Firewall-1 firmy Check Point.
3.4
Webový aplikační firewall - Web Application Shield – Sanctum (prevence, detekce,
reakce)
Jedná se o modulární automatizovaný webový aplikační firewall, který poskytuje optimální ochranu pomocí
blokování prakticky všech typů manipulací s aplikacemi uskutečňovaných pomocí klientů vybavených
prohlížeči. Pracuje podle restriktivní zásady „co není povoleno, je zakázáno“. Tím je eliminována potřeba
pravidelné aktualizace signatur nežádoucích činností. Jeho základní modul, Dynamic Policy Recognition
Engine, na základě průběžného zkoumání odchozích HTML dat automaticky definuje pro každou stránku a pro
každou relaci individuální postup. Následně pak vynucuje pro každou příchozí HTTP žádost soulad s tímto
postupem, přičemž neoprávněné operace ihned blokuje. Web Application Shield snadno a bezpečně zvládá
I složité a dynamické webové stránky, které používá klientská strana, a to včetně technologií jako jsou applety
Java, Javascript, Flash, nebo komponenty ActiveX.
3.5
Detektor průniku a klamací systém - ManTrap, ManHunt – Recourse (detekce,
reakce)
Firma Recourse Technologies nabízí dva neobvyklé programové balíky, ManTrap a ManHunt.
První z nich, ManTrap, vytváří klamné kopie výpočetních systémů, což útočníkovi znesnadňuje zjistit, kde
vlastně probíhá klíčová aktivita. Kromě toho ManTrap monitoruje a eviduje činnost útočníka, zaznamenává
například jeho stisky kláves, spouštění procesů, časové údaje a vůbec vše, co by mohlo být podstatné pro
budoucí šetření. Záznamy jsou elektronicky podepisovány.
Druhý, ManHunt, v reálném čase detekuje, analyzuje a reaguje na útoky včetně průniků, interních narušení
a útoků typu odepření služeb. ManHunt využívá pokročilou technologii zvanou Protocol Anomaly Detection,
dovolující rozeznat jak známé typy útoků, tak i útoky nové. ManHunt dále agreguje údaje o útocích z celé sítě
a v reálném čase zjišťuje korelace, čímž vytváří podmínky pro rychlý a přesný zásah. Funkce zvaná TrackBack
pak umožňuje zpětnou rekonstrukci dějů. Data lze zachytit pomocí prvku iButton, který může být za jistých
okolností použit jako důkaz před soudem.
3.6
Nástroj pro kontrolu integrity souborů - Tripwire (detekce, reakce)
Toto programové vybavení umožňuje sejmout a zaznamenat aktuální obraz adresářů a souborů, typicky
konfiguračních. Jedná se o variantu techniky zvané hash (digest, otisk). Následně pak je možné tuto činnost
zopakovat a porovnat aktuálně vypočtené výsledky s minulým stavem. Jsou-li zjištěny změny, je vyrozuměn
administrátor, neboť existuje podezření na nežádoucí aktivitu. Tripwire poskytuje detailní informace o tom,
které soubory byly přidány, zrušeny či modifikovány, takže lze velmi následky případného útoku rychle
rekapitulovat. Kompletní řešení obsahuje komponenty Tripwire for Servers, Tripwire Manager (řídicí konsola)
a Tripwire for Network Devices (pro routery, switche, firewally a další síťová zařízení).
273
3.7
Security Event Correlation Manager – e-Security (detekce, reakce)
Jedná se o centrální správní systém, který integruje všechny komponenty komplexu iForce Perimeter Security
Solution do jediného logického celku. Dokáže zpracovávat rozsáhlé objemy dat a převést je do podoby vhodné
pro další hodnocení. Díky použité korelační a expertní analýze splňuje bezpečnostní potřeby organizací,
zajišťuje rychlé rozhodování o reakci na incidenty, odstraňuje slabiny v bezpečnostní infrastruktuře a pro
hodnocení a porovnávání zavádí speciální bezpečnostní metriku.
Vlajkovou loď mezi touto kategorií produktů představují produkty e-Sentinel a e-Wizard. Slouží pro sběr,
centralizaci a stanovení priority dat pocházejících ze všech zdrojů a presentaci výsledků pomocí webového
rozhraní, vše v reálném čase. Aby se usnadnila rychlá a správná reakce na incidenty, lze aktivovat obsáhlý
a pružně modifikovatelný systém výpisů, nezbytných pro prosazení bezpečnostní politiky, bezpečnostní audit,
identifikaci trendů a zranitelností a sloužících i jako podklady pro certifikační řízení.
4 Síťová architektura
iForce Perimetr Security Solution je vyspělý, flexibilní systém, který může být snadno přizpůsoben nebo
doplněn podle potřeb každého zákazníka bez ohledu na to, zda pracuje v prostředí intranetu, extranetu nebo
Internetu. Na obrázku je uvedena varianta nasazení v iForceSM Ready Center firmy Sun.
Toto řešení může posloužit jako návod pro budování vícevrstvého ochranného systému na úrovni sítí i hostitelských počítačů. Jednotlivé vrstev jsou řešeny vyhrazením samostatných serverů pro každou komponentu,
zodolněním operačního systému a doplněním o kontrolu integrity.
274
Podle potřeb daných rozsahem sítě se jako technické platformy doporučují:
•
pro jednotlivé komponenty - servery Sun FireTM V100, V120, 280R nebo V480
•
pro správní konsolu - pracovní stanice Sun BladeTM 100 nebo 2000
Pro každou z popsaných komponent je vyčleněn samostatný server (výjimku tvoří Tripwire, který je instalován
na všech serverech a pracovních stanicích). Takto vzniklá architektura je značně otevřená a dovoluje
modifikovat rozsah podle skutečných potřeb daného síťového prostředí.
5 Závěr
iForce Perimetr Security Solution představuje praxí plně prověřené řešení, kombinující sedm bezpečnostních
komponent. Ty disponují pokročilými preventivními a detekčními mechanismy a prostřednictvím centrální
správní konsoly zajišťují rychlou reakci na všechny typy bezpečnostních hrozeb. Cílem řešení bylo vytvořit
stavební bloky pro zabezpečení rozhraní sítí při zachování možnosti koexistence s již existujícími
bezpečnostními mechanismy.
275
276
Zákaznická reference
Symantec Norton Antivirus Corporate Edition 7.5, Norton Ghost 7.0
Symantec GmbH
1 Zákaznická reference - Eurotel
Před pracovníky IT oddělení společnosti Eurotel stály dva úkoly: zvýšit odolnost podnikových počítačových sítí
před viry a ostatními nebezpečnými programy, šířícími se stále víc prostřednictvím Internetu a elektronické
pošty, a redukovat neproduktivní ruční práci, spojenou s údržbou a instalací pracovních stanic.
Na co kladli v Eurotelu důraz při výběru antivirové ochrany? Soustředili se na aplikaci celofiremní antivirové
politiky, která by zahrnovala všechny počítače a servery. Hlavními kritérii při hodnocení jednotlivých systémů
byly centralizovaná správa serverů a častost aktualizací virových definic.
Pan Michal Šmejkal, ředitel odboru PC LAN, k tomu řekl: “Chtěli jsme se vyhnout produktům, které vyžadují
ruční stahování virových řetězců a jejich distribuci na pracovní stanice. Preferovali jsme centrální systém se
servery uspořádanými do stromové struktury a s automatickou obsluhou klientů. Řešení společnosti Symantec
jsme si vybrali zejména díky vysoké častosti aktualizace virových definic. Vyhovuje nám, že se o nic nemusíme
starat, protože server si sám stahuje aktuální definice a sám je i distribuuje. Bezobslužnost systému je pro nás
velkou výhodou.”
Dodejme, že Symantec dává k dispozici svým zákazníkům nové virové řetězce každý týden, v naléhavých
případech i častěji.
Pracovníci IT oddělení Eurotelu pečují o velké množství počítačů a notebooků. Při takovém množství znamená
tříhodinová instalace operačního systému a základních aplikací na jeden počítač velkou časovou ztrátu. Jestliže
je třeba každou stanici přeinstalovat jednou za rok, pak celková časová náročnost údržby přesahuje 7500 hodin
neboli 937 pracovních dní (více než dva a půl roku).
“Odstranění nebo alespoň podstatné zredukování ruční práce při poskytování provozní podpory našim
uživatelům pro nás byl velmi důležitý úkol. Potřebovali jsme systém pořizování a distribuce instalačních obrazů
na pracovní stanice a rozhodli jsme se pro produkt Norton Ghost. Díky němu se tříhodinová instalace jednoho
počítače zkrátila na patnáct minut,” řekl nám pan Michal Šmejkal.
Eurotel koupil a implementoval několik tisíc licencí produktů Norton Ghost a Norton Antivirus Corporate
Edition. Kromě těchto dvou systémů se v Eurotelu používá ještě produkt PCAnywhere. “Nejdůležitějším
produktem Symantec pro nás je antivirová ochrana, protože dnes jsou útoky hackerů a virů na denním pořádku.
Chráníme proto i náš systém elektronické pošty. Ghost je na druhém místě, z pohledu provozu ne méně
významném,” dodává pan Šmejkal.
Dodávku a implementaci provedla firma CS development, která má s realizací projektů pro Eurotel již
dlouhodobou zkušenost. “Pro nás je velmi důležitá pružnost a CS development je přesně taková společnost,
které stačí zavolat a oni okamžitě reagují. My pak dostaneme pouze zprávu o řešení,” odpovídá pan Šmejkal na
otázku, proč dali přednost této firmě před giganty jako je IBM nebo Hewlett-Packard.
277
2 Zákaznická reference - Ministerstvo financí
2.1
Daně bez virů.
Ministerstvo financí je ústředním orgánem státní správy pro státní rozpočet republiky, státní závěrečný účet
republiky, státní pokladnu České republiky, finanční trh, daně, poplatky a clo, finanční hospodaření, finanční
kontrolu, účetnictví, audit a daňové poradenství, věci devizové včetně pohledávek a závazků státu vůči
zahraničí, ochranu zahraničních investic, pro tomboly, loterie a jiné podobné hry, hospodaření s majetkem státu,
privatizaci majetku státu, pro věci pojišťoven, penzijních fondů, ceny a pro činnost zaměřenou proti legalizaci
výnosů z trestné činnosti.
Na ministerstvu pracuje řádově 1.500 zaměstnanců, objem jejich elektronické komunikace s okolním světem
rozhodně není zanedbatelný. Navíc komunikace probíhá nìkolika kanály, jak pomocí klasického mailu, tak
I http,http(s) kanálem. V rámci ministerstva samozřejmě existují souborové servery. V případě, že by došlo
k průniku virů, mohla by hrozit nejen poškození či ztráta dat a ochromení poskytovaných služeb, ale i zhroucení
operačních systémů,databází, přetížení komunikačních systémů či únik dat. Ten by mohl vést ke značným
škodám: představte si například únik části databáze daňového systému. Jak je zajištěna jeho antivirová ochrana?
Za klíčové požadavky považuje ing. Jan Fliegl z MF, možnost centrální správy antivirových produktů,
schopnost rychlého vyrozumění obsluhy o virovém incidentu, snadné a rychlé a automatizované updatování při
nových virových hrozbách a samozřejmì ochranu všech komunikačních kanálů. Důležité je i zajištění redundance, aby systém ochrany pracoval i v případě výpadku nějakého z dílčích produktů. Pro zajištění antivirové
ochrany zvolilo ministerstvo produkty Symantecu.
Ochrana elektronické pošty, jako hlavního potenciálního zdroje virové nákazy, se provádí na několika úrovních
– na úrovni komunikace s okolními subjekty pomocí protokolu SMTP pomocí Symantec AntiVirus for SMTP
Gateways a na úrovni groupwarových serverů, kde je použit Symantec AntiVirus for Microsoft Exchange.
Antivirový systém Symantec Antivirus for Microsoft Exchange je
možné využít ve dvou režimech. V režimu MAPI přistupuje antivirový
software ke zprávám stejně jako klient pomocí rozhraní MAPI.
Nevýhodou tohoto přístupu je jeho pomalost na zatížených serverech,
která je dána odezvou poštovního serveru, naopak k výhodám patří
dobré informace o zprávě a možnost plánování kontrol.
Druhým režimem je přístup v módu VAPI 1.0 (Virus - Scanning API),
který lez využít na serveru Exchange 5.5 se service packem 4.
Výhodou režimu VAPI je přístup ke zprávám ještě předtím, než jsou
zapsány do schránky, nicméně k dispozici jsou omezenější informace
o zprávě než při přístupu pomocí MAPI. V praxi se na poštovních
serverech, na kterých běží Exchange 5.5, často využívá kombinace obou přístupů. Na serverech Exchange 2000
se servis packem 1 (a vyšším) je možné využít přístup pomocí rozhraní VAPI 2.0, to dovoluje přístup ke
zprávám dříve než jsou zapsány do schránky a zároveň poskytuje nezbytné informace o příjemci, odesílateli atd.
Ochranu souborových serverů a pracovních stanic zajišťuje Symantec AntiVirus Corporate Edition.
278
Ale samotná ochrana poštovních a souborových serverů by rozhodně nestačila. Chránit je zapotřebí i http
provoz, procházející firewallem. K tomu slouží na Ministerstvu financí Symantec Web Security: nástroj, který
průběžně kontroluje http komunikaci firewally a odstraňuje nebezpečný kód.
Průběžná automatická aktualizace jádra antivirového systému i databáze virů je zajištěna systémem LiveUpdate.
A jaké vlastnosti by měl podle ing. Fliegla mít vhodný
partner pro implemetaci? Měl by mít průkazné zkušenosti
s poskytováním bezpečnostních řešení klientům z podnikové sféry, měl by dokázat využívat vlastní bezpečnostní
strategie a postupy. K logickým požadavkům patří nejen
disponování špičkovými technologiemi, ale i investice do
získání certifikací pro implementaci bezpečnostních řešení.
Klíčovým požadavkem je rovněž to, aby měl nejméně dva
kvalifikované certifikované pracovníky pro danou oblast jen tak se může zákazník spolehnout, že v případě problémů bude pracovník kdykoliv k dispozici.
279
280
Jak bezpečné je SSL?
VUMS DataCom
Rozšířená 15, Praha 8, 182 00
1 Úvod
Elektronické obchodování, on-line platby, přístup k informacím na internetu apod. vyžadují zabezpečení dat.
Standardem pro bezpečný přístup se stal protokol SSL (Secure Socket Layer). Protokol, původně vyvinutý
společností Netscape, byl akceptován jako de facto standard pro autentikaci a šifrování dat na internetu. Běží
nad TCP/IP, konkrétně nad portem 443, a zabezpečí protokoly na vyšších vrstvách, např. HTTPS, FTPS,
SMTPS atd. (viz obrázek 1). Podporují je mimo jiné prakticky všechny prohlížeče.
Obrázek 1. Vazby SSL protokolu
SSL zabezpečí data před odposlechem pomocí šifrování a dále umožní ověření totožnosti uživatele vůči serveru
i naopak, a to prostřednictvím certifikační autority. Pro výměnu klíčů a sestavení spojení využívá asymetrických
klíčů, tj. kombinace veřejného a privátního klíče. Pomocí nich se vygeneruje klíč pro dané spojení (session key).
Během sestavování spojení se posílá i certifikát potvrzující totožnost. Samotný přenos dat je potom kryptován
symetrickou šifrou.
2 Bezpečnost a SSL
Je SSL opravdu bezpečný? Nepřináší jeho použití rizika? V principu bezpečný je, ale jako vždy vše závisí na
implementaci. Během nedávné doby byla na internetu zveřejněna řada bezpečnostních chyb, které mimo jiné
umožňují zneužití SSL spojení hackerem. K citlivým informacím se tak dostane nepovolaná osoba. V horším
případě se hacker může pokusit využít toto spojení pro další průnik do systému. Paradoxně mu toto spojení,
zabezpečené proti odposlechu, může poskytnout k průniku větší klid. Stejné nebezpečí však hrozí i od
„legálního“ uživatele - nic přece nebrání hackerovi zřídit si na daném serveru pro danou službu legální účet. Že
se nejedná o pouze teoretické nebezpečí se mohly loni přesvědčit některé švédské banky, viz odkaz
http://zdnet.com.com/2102-1105-955442.html.
3 IDS
Odhalení podobných útoků je záležitostí IDS (Intrusion Detection System) sondy. Existují dva typy IDS – Hostbased IDS a Network-based IDS. HIDS je software, instalovaný na daný server nad TCP/IP stack, který skenuje
veškerý síťový provoz. V podstatě tedy nic nebrání tomu, aby server dekryptoval SSL provoz a HIDS ho pak
prověřil. Je tomu skutečně tak? Není - problémem je výkonnost. I velice výkonný a drahý server dokáže
zpracovat pouze několik desítek SSL session. Činnost IDS je neméně náročná, prověřuje se provoz až po
281
aplikační vrstvu. Kombinace těchto dvou činností na jednom serveru je tedy krajně nevhodná a mnozí
dodavatelé aplikací navíc nesouhlasí s instalací jakéhokoliv dalšího software. Nemenším problémem je v tomto
případě škálovatelnost. HIDS musí být instalován na každém serveru, jakýkoliv upgrade operačního systému je
nutné sladit s dostupností IDS software pro danou verzi atd.
NIDS je zpravidla hardwarová appliance, často založená na UNIXu nebo LINUXu. Jedná se o dedikované
zařízení s výkonem blížícím se 100 Mbps, u špičkových produktů k 1 Gbps. Provoz na NIDS je většinou
směrován pomocí funkce copy port na přepínači. SSL provoz je však šifrován a IDS tak nemůže případný útok
odhalit.
4 Řešení společnosti RADWARE
Unikátní řešení nabízí společnost RADWARE (www.radware.com), která se specializuje na oblast load
balancingu a application switchingu (IAS – Inteligent Application Switching). Nabízí dvě řešení. Obě využívají
hardwarový SSL akcelerátor CT100.
4.1
WSD a Certain T100
První z nich je založeno na produktu WSD s rozšířením SynApps. WSD je content switch pro IP servery, tzn.
dokáže sdružit do jedné serverové farmy, tzn. pod jednu IP adresu, prakticky libovolné množství serverů a podle
definovaných kriterií (aktuální počet paketů, bytů, spojení, zátěže CPU, response time, typ aplikace atd.) mezi
ně rozděluje respektive optimalizuje zátěž. SynApps pak představuje volitelný modul, rozšiřující možnosti
jednotlivých content switchů o bandwith management a application security. Právě application security modul
využívá mimořádného výkonu všech hardwarových platforem – Application switch I, II a III. Ty dokáží
fungovat až do 200 Mbps, 1 Gbps a 3 Gbps na 7. vrstvě OSI, na 3.-4. vrstvě samozřejmě je výkon mnohem
vyšší. Díky tomu dokáže application switch modul částečně zastoupit bez ztráty výkonu funkčnost IDS
I antiviru. Je schopen odhalit více než 1000 nejčastějších útoků a bezpečnostních rizik, jako jsou Nimda, Code
Red, buffer overflow chyb, nebezpečí vyplývajících z defaultních konfigurací, back door útoků atd. Při kombinaci WSD s SSL akcelerátorem Certain T100 lze využít výhod off-line topologie pro SSL dekryptování, což
zajišťuje neomezenou škálovatelnost pro SSL. WSD podle portu 443 pozná SSL a přesměruje jej na Certain
T100. Zde je provoz dešifrován, vrácen na WSD a ten provede rozhodnutí, na který server bude poslán. V tomto
okamžiku Security application modul dokáže detekovat a volitelně i blokovat nebezpečný provoz nebo útoky
(viz obrázek 2), to vše bez snížení propustnosti.
Obrázek 2. Spolupráce WSD a CertainT 100
282
4.2
FireProof a Certain T100
Druhou možností je kombinace FireProofu a Certain T100. FireProof je content switch pro bezpečnostní
produkty – firewally, VPN a IDS. Dokáže rozdělovat a optimalizovat provoz mezi jednotlivá zařízení ve farmě.
Speciálně u IDS přináší toto řešení řadu výhod – dokáže pro jeden segment sdružit více IDS sond a zajistit tak
vysokou dostupnost a škálovatelnost, nebo naopak na jednu IDS sondu kopírovat provoz z více segmentů.
V takovém případě je nutné zajistit směrování provozu v rámci jednoho spojení vždy na stejnou IDS (tzv.
session persistancy) tak, aby bylo možné sledovat i průběh spojení. Řadu útoků nelze odhalit pouze na základě
řetězce znaků, ale právě na základě určitých aktivit v rámci navazování nebo průběhu spojení. Protože IDS
rozhraní funguje v promiskuitním módu a nemá tudíž vlastní IP adresu, je nutné session persistancy zajistit na
základě zdrojové IP adresy eventuálně portu.
Dále je možné definovat, který provoz bude na IDS posílán, a to podle zdroje, cíle a aplikace. Poslední možnost
umožňuje efektivně využít více různých IDS i od různých výrobců podle toho, pro kterou aplikaci je daná IDS
sonda nejlepší (HTTP, FTP, mail atd.). Důsledkem je maximálně efektivní využití, vysoká dostupnost,
optimalizace a prakticky neomezená škálovatelnost. Nezanedbatelná je i úspora finančních prostředků při
implementaci.
V následujícím případě je FireProof připojen off-line k přepínačí pomocí jednoho nebo více portů v „copy port“
režimu (viz obrázek 3). FireProof rozliší SSL (port 443) a nasměruje jej na Certain T100 v pasivním módu. Ten
provoz dekryptuje a pošle zpět. Zde je už provoz v „čitelném tvaru“ a FireProof jej přepošle na konkrétní IDS,
a to podle definovaných pravidel (zdroj, cíl, aplikace). Na IDS je provoz prověřen za účelem odhalení
případného útoku. Dešifrovaný provoz je pouze mezi Certain T100 a IDS, nikde jinde se nedostane. V závislosti
na požadované propustnosti je možné přidávat další akcelerátory a IDS. Jakkoliv se tato idea zdá prostá, toto
řešení je v této chvíli na trhu naprosto unikátní. SSL akcelerátor musí podporovat speciální pasivní režim.
Důvodem je mimo jiné nutnost zajistit, aby SSL akcelerátor znal vygenerovaný klíč pro jednotlivá spojení,
protože pouze tímto klíčem lze data dešifrovat.
Obrázek 3. Spolupráce FireProof a Certain T100
5 Závěr
•
SSL je bezpečný nikoliv bezpečnostní protokol. Je ho možné zneužít k průniku do systému. V této
souvislosti je důležité si uvědomit, že i legální/ověřený uživatel může být hackerem.
•
FireProof dokáže zajistit vysokou dostupnost, optimalizaci a neomezenou škálovatelnost pro firewally,
VPN a IDS a vytvořit tak z jednotlivých komponent bezpečnostní centrum.
•
V kombinaci s SSL akcelerátorem Certain T100 v pasivním módu nabízí naprosto unikátní řešení pro
prověření SSL provozu.
283

TrustPort Certification Authority 1 Základní vlastnosti certifikační

Transkript

Podobné dokumenty