Bezpečnostní zařízení pro firemní sektor

V posledních letech se v oblasti informačních technologií objevilo velké množství specifických bezpečnostních zaří...


V posledních letech se v oblasti informačních technologií objevilo velké
množství specifických bezpečnostních zařízení. Mezi první samostatná hardwarová
zařízení patřily firewally, které byly postupně rozšířeny o filtraci provozu na
všech vrstvách ISO/OSI, IDS/IPS, filtraci obsahu apod. V současné době je téměř
každá bezpečnostní technologie dostupná ve formě hardwarového zařízení, a to
včetně antispamových řešení či různých aplikačních přepínačů.

Ve většině případů se přitom nejedná o nic jiného než o klasické počítače,
které jsou však dodávány v provedení určeném pro montáž do datových rozvaděčů.
Hlavním důvodem je cena takového řešení, která je oproti ASIC podobě daleko
nižší. Hardwarové vybavení těchto zařízení je dostatečně dimenzováno pro
služby, které jsou na nich provozovány. Jako operační systémy jsou s oblibou
používány různé deriváty Linuxu, jež jsou rovněž přizpůsobeny použitému
hardwaru a provozovaným službám. Výhodou těchto zařízení oproti klasickým
serverům je to, že není třeba se zvlášť starat o samotný operační systém,
běžící služby, aktualizaci softwaru, instalaci opravných balíků apod. Veškeré
aktualizace jsou totiž prováděny najednou stejným aktualizačním procesem, takže
úkolem administrátorů je pouze konfigurace samotných zařízení a monitoring
jejich provozu.

Firewally a VPN brány
Mezi nejprodávanější a nejrozšířenější bezpečnostní zařízení patří firewally a
VPN brány. V oblibě je mají zejména velké korporace, které je používají pro
propojení svých poboček s centrálou. Využívají je však i malé a střední
společnosti pro ochranu svého perimetru (hranice mezi vnějším a vnitřním
datovým prostředím firmy) a pro vzdálený přístup do organizace pomocí VPN.
Hlavním důvodem obliby těchto zařízení je jejich jednoduchost a nenáročnost na
správu firmy tak dosahují vyšší úrovně zabezpečení při nižších nákladech.
Doba, kdy nabourávání se do cizích sítí bylo doménou počítačových nadšenců,
kteří útočili na samotné firewally a hledali mezery v konfiguraci, je dávno
pryč. Převážná část současných útoků je vedena na konkrétní systémy a služby
běžící za firewallem. Na tyto typy útoků je tradiční SPI (Statefull Packet
Inspection) firewall nedostatečný pro jejich odvrácení je nutné použít filtraci
provozu až na poslední, sedmé aplikační vrstvě ISO/OSI modelu. V současnosti
zřejmě už každý výrobce firewallu vybavil své produkty touto filtrací, proto
můžeme v reklamních materiálech jednotlivých zařízení objevit slovní spojení
full application inspection, application intelligence, deep packet inspection
apod. Když už výrobce obohatil firewall schopností rozumět konkrétním
protokolům, není problémem zajistit i to, že tato zařízení zároveň umějí
filtrovat provoz proti virům, dokáží filtrovat webové stránky nebo že obsahují
více či méně sofistikované metody pro detekci a prevenci útoků na aplikace.
Tato multifunkční zařízení výrazně posunula vnímání pojmu firewall.
Ve standardní výbavě současných firewallů lze již běžně najít podporu VPN
(Virtual Private Network) založenou buď na protokolu SSL, nebo IPsec. VPN se
těší stále větší oblibě, protože organizacím umožňuje snížit náklady na
propojení svých poboček s centrálou nebo propojení vlastní sítě se sítěmi svých
obchodních partnerů. Bezpečný vzdálený přístup ocení také mobilní zaměstnanci,
kteří tak mají i na služební cestě přístup ke své e-mailové schránce, k
firemnímu informačnímu systému apod. Výhodný je i pro administrátory, kteří
mohou vzniklé problémy okamžitě řešit v pohodlí svého domova. Řešení některých
výrobců umí navíc i zkontrolovat, zda připojující se uživatel má nainstalován
antivirový program s aktuálními virovými definicemi. Podle toho pak povolí, či
odmítne přístup do vnitřní sítě nebo použije jinou restriktivní politiku. Pro
uvedené scénáře lze použít VPN založené na protokolu IPsec. VPN založené na
protokolu SSL se používají pro bezpečné zpřístupnění služeb a aplikací
uživatelům pomocí webového rozhraní. Zpřístupnit lze i aplikace, které webové
rozhraní nepodporují. Výhodou tohoto řešení oproti modelu založeném na
protokolu IPsec je to, že klientská stanice nemusí mít nainstalován žádný IPsec
klientský software a stačí jí pouze webový prohlížeč. Existují samostatná VPN
zařízení, která zajišťují pouze tento typ VPN a jsou označována jako SSL VPN,
Clientless VPN apod.

Detekce a prevence narušení
Firewally filtrující provoz na aplikační vrstvě podstatně zvyšují zabezpečení
perimetru, který chrání. Nicméně i firewally jsou v případě některých útoků na
aplikace bezradné. Proto se stále více do popředí zájmu dostávají zařízení
detekující (IDS, Intrusion Detection System) či dokonce zastavující (IPS,
Intrusion Prevention System) tyto typy útoků. Uvedené prvky kontrolují síťový
provoz a analyzují útoky pomocí několika metod, mezi něž patří hledání signatur
známých útoků, detekce anomálií v protokolech či monitoring síťového provozu a
zjišťování odchylek od běžného provozu v síti. Zařízení IDS útok pouze
zaznamenají a upozorní administrátora, případně jsou schopna také poslat RST
paket oběma koncům spojení, a tak ho přerušit. Tato reakce však může být
nedostatečná, protože v okamžiku detekce útoku se již útočníkovi podařilo
dosáhnout cílového systému. Daleko lepší ochrany lze docílit pomocí IDS/IPS
zařízení. To může být připojeno buď pouze jako sniffer (analyzátor) síťového
provozu a logovat zjištěné útoky, případně posílat RST pakety jako reakci na
útok. Nebo také může být zapojeno přímo "do cesty" síťového provozu (tzv.
in-line mód) tento způsob je pro zablokování útoků vhodnější. Veškerý provoz
totiž prochází skrz zařízení, takže když je detekován útok, je možné ho
zastavit ještě předtím, než dosáhne cílového systému. Aby nedošlo v případě
poruchy IDS/IPS zařízení zapojeného v in-line režimu ke ztrátě konektivity
chráněné sítě, je dobré nasadit jednotku in-line bypass unit, která se postará
o zachování síťové dostupnosti. S její pomocí se přemostí samotné zařízení a v
případě poruchy přes ni prochází veškerý provoz.
IDS/PS zařízení jsou náročná na výkon. Sestavit a zkontrolovat spojení z
jednotlivých paketů putujících po síti zabere určitý procesorový čas. Přitom
ale celý proces musí proběhnout co nejrychleji, aby v průběhu zpracovávání
nedošlo k jinému útoku. Na rozdíl od standardních PC se o vhodné nadimenzování
hardwaru postaral sám výrobce, a ve specifikaci je tak definováno, pro jakou
maximální propustnost je toto zařízení určeno. Dnes již nejsou výjimkou
zařízení, která jsou schopna monitorovat provoz v řádu gigabitů za sekundu.

Filtrace virů a spamu
Relativně nová jsou zařízení určená pro filtraci pošty proti virům a spamu.
Fungují jako poštovní brány, případně rovnou jako koncové poštovní servery. Pro
filtraci pošty proti virům využívá každý výrobce vlastní nebo jím oblíbené
antivirové řešení. Implementace filtrace spamu se u různých výrobců liší.
Kvalitní řešení však obsahují velice důmyslné několikaúrovňové metody filtrace
pošty. Patří mezi ně například traffic shaping na úrovni TCP spojení, kde
dochází k přidělování pásma jednotlivým poštovním serverům podle toho, jak je z
nich zasílán spam. Pokud z nějakého poštovního serveru přichází větší množství
spamu, je mu snížena šířka pásma tak, aby zbytečně nezatěžoval uživatelův
poštovní server. Další zajímavou a používanou metodou je detekce DHA (Directory
Harvest Attack). V tomto případě jsou detekovány pokusy o posílání e-mailu na
náhodně vygenerované adresy. V případě pozitivní detekce lze porovnat například
IP adresu serveru, ze které tyto útoky přicházejí, s historií přijatých e-mailů
ze stejné adresy, a podle výskytu spamu například snížit počet možných spojení
z tohoto serveru za jednotku času.
Jestliže se uživatel rozhodne filtrovat poštu pomocí tohoto typu zařízení, může
poštovní bránu umístit na stranu ISP, a tím zároveň snížit zatížení internetové
linky.

Rychlejší odezva
Bezpečnostní zařízení mají za úkol ochránit systémy před kompromitací a
zneužitím, a zajistit tak jejich ničím nerušený chod. Škála těchto řešení není
firewally, antivirovými a antispamovými filtry ani zdaleka vyčerpána.
Zařízení pro HA/LB (High Availability/Load Balancing) slouží k rozdělování
požadavků uvnitř farmy několika serverů, čímž lze dosáhnout rychlejší odezvy
při zpracování požadavku. Zároveň nehrozí nedostupnost služby při výpadku
serveru farmy o vyřízení požadavku se postarají zbylé servery. Tato zařízení
mohou pracovat buď na síťové, nebo na aplikační vrstvě. Řešení pracující na
aplikační vrstvě mohou fungovat i jako přepínače podle obsahu (Content Switch),
a směrovat tak různé druhy provozu (HTTP, SMTP, apod.) ke konkrétním filtračním
nebo cílovým serverům. Zároveň mohou zajišťovat definovanou šířku pásma pro
konkrétní služby a vyřizování požadavků podle priority.
SSL akcelerátory (SSL offloading) zajišťují lepší odezvy při přístupu pomocí
protokolu HTTPS. Spojení přes SSL je asi 50x náročnější na procesorový čas než
HTTP spojení. Větší počet současných SSL spojení tak může výrazně zatížit
server, který je zpracovává. Úkolem SSL akcelerátorů je převzít režii spojenou
se správou SSL spojení, a z HTTPS spojení tedy vytvořit variantu HTTP. SSL
akcelerátory bývají často vybaveny také kompresními funkcemi, které zajišťují
kompresi přenášených webových stránek směrem od serveru ke klientovi. Tím lze
rovněž snížit množství dat přenášených výše uvedeným směrem, a zrychlit tak
celkovou odezvu.
Autor je technickým specialistou ve společnosti Unicorn.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.