Dobré firewally dělají dobré sousedy

Interní bezpečnostní bariéry mohou zabránit šíření útoků mezi jednotlivými divizemi firmy. Organizace, ve které ...


Interní bezpečnostní bariéry mohou zabránit šíření útoků mezi jednotlivými
divizemi firmy.
Organizace, ve které pracuji, je dceřinou společností jedné velké firmy.
Nedávno jsme se rozhodli, že je nejvyšší čas, abychom opustili své "rodiče" a
začali se o bezpečnost vlastních informačních technologií starat sami. Až dosud
jsme své "matce" plně důvěřovali. Máme zhruba 10 propojení mezi našimi a jejich
sítěmi, a to bez jakékoliv kontroly. S tím bude konec.
Uvedené uspořádání dosud fungovalo velmi dobře, takže jsme se ani příliš
nezabývali monitorováním příslušných linek mezi sítěmi. Ale poté, co naši síť
vloni infikoval červ SQL Slammer, začali jsme si klást otázky. Bezpečnostní
skupina mateřské firmy si je zcela jista, že my jsme infikovali je, zatímco můj
tým si myslí pravý opak. Tak či onak, potřebujeme ochranné mechanismy, které
takové nákaze do budoucna zamezí.
Nejjednodušším způsobem, jak zabránit šíření škodlivého kódu mezi našimi
sítěmi, je nasazení firewallů a jejich nastavení tak, aby byl provoz omezen
pouze na to, co je nutné, a všechno ostatní bylo blokováno. Oznámili jsme tento
záměr našim kolegům v mateřské společnosti a začali pracovat na vhodném řešení.

Začínáme
Naším prvním krokem byla identifikace všech síťových spojení mezi našimi
organizacemi. Šlo o poměrně snadno splnitelný úkol, přesto v sobě skrýval
některá překvapení. Spojů bylo více, než jsme očekávali. Domnívám se, že jsme
nalezli vše, ale přesto jsem zvědav, zda se objeví některá další.
Jakmile jsme zmapovali fyzická propojení, bylo již nasazení hardwarových
firewallů snadné. Kolegy v mateřské firmě jsme trochu překvapili tím, že jsme
je podrobně informovali o celém průběhu akce a požádali je, aby nám pomohli s
nastavením pravidel. Jakmile jsme dostali zelenou, začali jsme s nasazením.
Práce byla dokončena ve chvíli, kdy druhá skupina teprve informovala své
pracovníky IT, že byl projekt schválen.

Nastavení pravidel
Samotný hardware je sice nákladný, ale sám o sobě neznamená žádnou ochranu. K
jejímu zajištění potřebujete dobře promyšlenou sadu pravidel, která omezují
vysoce riziková spojení a současně umožňují volný tok dat klíčových pro
fungování firmy.
Nejprve jsme se pokusili povolit na firewallu systém prevence vniknutí (IPS,
Intrusion Prevention System). Výrobci firewallu kladou při marketingu na tento
systém velký důraz: "Nepotřebujete drahá poplašná zařízení, která vás upozorní
na proniknutí do vaší sítě, neboť náš firewall tomu zcela zabrání."
Problematikou IPS u jiných firewallů, než je ten náš, jsem se nijak do hloubky
nezabýval, ale pokud jde o naše firewally, je toto tvrzení nesmyslem. Námi
užívaný produkt úspěšně identifikuje a zachytí pouze cca 20 známých útoků.
Jejich seznam je součástí operačního systému firewallu, a na rozdíl od
antivirového softwaru tak nelze používat aktualizace signatur útoků.
Předpokládám, že pokud se Kevin Mitnick vrátí ke svému původnímu řemeslu a
zaútočí naprosto stejně jako před lety, budeme v bezpečí. Ale nesměl by
aktualizovat žádný ze svých postupů. Při všech nových druzích útoku, které
firewall nezachytí, včetně Blasteru a dokonce i Slammeru, nepovažuji jeho
ochranné schopnosti za příliš užitečné. Samotná skutečnost, že nás ochrání před
riziky jako ICMP ping of death, nestojí prakticky za řeč.

Klady a zápory
Ke skutečné ochraně jsme potřebovali sadu pravidel, která odfiltruje "špatný"
provoz a propustí ten "dobrý". Mysleli jsme si, že jejich definice bude snadná.
Hovořili jsme se všemi vlastníky aplikací včetně týmů, které mají na starosti
web a e-mail. Jakmile jsme měli k dispozici adresy jejich serverů a protokoly,
které chtěli využívat, mohli jsme přidat pravidla pro jejich povolení. A
vytrvale dále pracovat na pravidlech dalších. Pak už zbude jen přidat výchozí
pravidlo, které zakazuje veškerý ostatní provoz a které nám poskytne ochranu
před neznámými nebezpečími.
Nacházeli jsme se asi den před povolením první sady pravidel, když jsme se
naivně zeptali kolegů z IT týmu, co se stane, pokud jedno spojení spadne. Bude
provoz přesměrován na jiné připojení k mateřské firmě? Pokud ano, je třeba
zajistit, aby pravidla umožnila provoz i poté, co k tomu dojde. Bylo by opravdu
nepříjemné, pokud by firewall zablokoval kritický provoz v situacích, jako je
obnova v případě katastrofy.
Odpověď nikdo neznal. A tak jsme chvíli před spuštěním ochranného deštníku
vůbec nevěděli, co se stane, pokud spadne nějaké spojení. A na fungujících
linkách jsme to opravdu nechtěli zkoušet. Dokud nemáme odpověď na tak zásadní
otázku, nemůžeme nová pravidla povolit, takže jsme se vrátili zpět k jejich
návrhu.

Hledání inspirace
Domníval jsem se, že bychom mohli alespoň omezit možné škody způsobené
neznámými protokoly. Určitě musí existovat řada IP protokolů a TCP portů, které
v naší síti nepoužíváme. Pokud je zablokujeme, pak sice budou stávající slabá
místa v používaných službách stále odhalena, ale alespoň budeme schopni
zjistit, pokud se útočník pokusí přidat nebo využít nový protokol.
Mezi prací na příslušném seznamu a informováním lidí o tom, že se chystáme
aplikovat první pravidla pro blokování, jsme začali zjišťovat situaci u
obchodních partnerů, kteří se touto problematikou zabývají. Umístění firewallů
v interních síťových segmentech je stěží originální myšlenkou, takže jsem se
domníval, že problém vytváření pravidel a omezení rizik při zachování fungování
firmy musí být dobře znám, stejně jako jeho řešení. Bohužel, mezi typické
odpovědi, jichž se mi dostalo, patřily věty jako: "Ach, to je složitý problém,"
nebo "To určitě nechcete zkoušet, že ne!?"
Dokud se nám nepodaří celý problém postupně vyřešit, omezil jsem rozsah
projektu tak, aby v něm bylo možno pokračovat. Náš velký plán na ochranu "nás"
před "nimi" a naopak byl nyní rozdělen na dvě fáze. V první z nich zajistíme
pouze ochranu našich systémů před mateřskými sítěmi omezením příchozích
připojení. Odchozí spojení zůstanou zatím beze změny. Takto zredukovaný rozsah
podstatně omezí objem naší práce a šéfové budou i tak spokojeni. Myslím, že
posledním stadiem odchodu z domova pak bude naučit rodiče, jak fungovat bez nás.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.