Spravovat bezpečnostní infrastrukturu není žádná hračka

Nový softwarový nástroj je příslibem snadnějšího ovládání systémů pro zabezpečení dat, ale jeho implementace ne...


Nový softwarový nástroj je příslibem snadnějšího ovládání systémů pro
zabezpečení dat, ale jeho implementace není vůbec snadná.
Manažeři bezpečnosti IT, kteří odpovídají za správu firemních firewallů,
gatewayí pro virtuální sítě VPN, routerů a dalších zařízení, která mají co do
činění se zabezpečením komunikace, budou jistě rozumět starostem, které na mě
dopadají již po celý tento týden.
Před příchodem k mému nynějšímu zaměstnavateli, tedy před několika málo měsíci,
používala naše firma hlavně Check Point FireWall-1. Nedávno ale bylo
rozhodnuto, že přejdeme na firewally PIX od Cisco Systems. Já osobně jsem
velkým stoupencem firewallových produktů od kalifornské firmy Check Point
Software Technologies. Na produktech PIX od Cisco samozřejmě není nic špatného,
ale pamatuji si, jak jsem si těžko osvojoval spoustu znalostí, když jsem chtěl
zvládnout soubor všech bezpečnostních pravidel v různých systémech. Postupem
času se stává jejich kombinace jen velmi obtížně zvládnutelná. Snažím se tedy
najít způsob, jak centralizovat řízení bezpečnostních nástrojů, abychom
nemuseli ke každému zařízení používat jiný software.

Důvody pro změnu
Existují dvě metody, jak spravovat PIX firewall. Rozhodnete-li se pro metodu
práce z příkazového řádku, můžete manuálně zadávat příkazy z obrazovky
terminálu přes Telnet nebo Secure Shell. Typická skupina příkazů může vypadat
asi takto: access-list DMZ permit tcp host 192.168.10.33 host 10.38.
20.5 eq smtp access-list DMZ permit tcp host 192.168.10.34 host 10.38.
20.5 eq smtp access-list DMZ permit tcp host 192.168.10.35 host 10.38.
20.5 eq smtp Zadaná pravidla přikazují firewallu, aby interface v DMZ (v tzv.
demilitarizované zóně) povolil hostitelům s adresami IP v rozsahu 192.168.10.33
až 192.168.10.
35 přístup k hostitelskému serveru 10.38.20.5 a aby jim umožnil odesílat
e-maily pomocí protokolu pro přenos pošty SMTP (Simple Mail Transfer Protocol).
V podstatě je to celkem dobrý způsob, jak vytvořit seznamy přístupů a řídit
firewall. Ale v našem případě obsahuje hlavní firemní firewall přes 4 300 řádků
pravidel a firewall v serveru pro e-businessové aplikace jich obsahuje dokonce
přes 5 000. Pokaždé, když někdo z našeho týmu zadává změnu, stojíme všichni
kolem, choulíme se a jen tiše doufáme, že se firewall nezhroutí. Ještě nikdy
jsem neviděl tolik pravidel najednou na jediném firewallu. Abychom se s touto
situací vyrovnali, zvolili jsme druhou metodu řízení firewallu PIX: použití
nástrojů s grafickým uživatelským rozhraním. Dva nejčastěji používané nástroje
pro firewally PIX jsou Cisco Secure Policy Manager (CSPM) a firemní PIX Device
Manager založený na webu. Rozhodli jsme se pro CSPM. Ale zjistil jsem, že
ovládání zvoleného nástroje může být poměrně složité, zejména v případě, kdy
nevěnujete dostatek vlastní iniciativy při vytváření jeho základní konfigurace.
A jako by to ještě nestačilo, musíme také sledovat a řídit seznamy přístupů na
našich routerech a přepínačích, a navíc také pravidla pro naše VPN gatewaye.
Správa konfigurace jednotlivých produktů vyžaduje pokaždé jiný nástroj a to i v
případě, kdy máme produkty od stejného dodavatele. A pokud bychom se kvůli
některým aplikacím rozhodli přejít na finančně výhodné firewally založené na
Linuxu, jak máme v plánu, tak budeme muset přidat ještě další řídicí nástroj. I
kdybychom chtěli zvládnout správu všech našich bezpečnostních zdrojů pomocí
celé palety řídicích nástrojů, stejně bychom si to nemohli dovolit. Vzhledem k
našemu omezenému rozpočtu jsme se proto poohlíželi po jediném nástroji, který
by dokázal řídit všechny naše bezpečnostní prvky. Nakonec jsme se spokojili s
nástrojem Solsoft NP od kalifornského Solsoftu. Tento centralizovaný nástroj je
schopen ovládat a auditovat seznam přístupů pro všechny zapojené routery,
přepínače, firewally a VPN gatewaye. Hlavní myšlenka řešení Solsoft NP pracuje
takto: Nejprve si nadefinuji všechny své síťové zdroje jako objekty. Například
mohu definovat linuxový server provozující Netfilter, firewall Cisco PIX 6.1 a
koncentrátor Cisco VPN. Jakmile dokončím tento úkol který je mimochodem v celém
procesu etapou nejnáročnější na čas začnu vytvářet připojení od jednoho objektu
k dalšímu. Pokud chci, aby IP adresy od 192.168.10.33 do 192.168.10.35
používaly IP adresu 10.38.20.5 jako gateway pro e-mail, pak pomocí myši vyberu
objekt služby SMTP a protáhnu spojnici mezi tímto objektem a objektem IP
adresy, a tím zadám požadované spojení. Nebo mohu vytvořit to, co Solsoft
označuje jako metatřídy a vytvořit skupinu, která bude obsahovat požadovaný
rozsah IP adres. Solsoft NP pak bude se skupinou pracovat jako s jedním
objektem.
Stejný princip platí pro všechny ostatní zdroje. Správce vybere službu a
vyznačí vzájemné propojení. Po vytvoření a kompilaci všech pravidel Solsoft NP
automaticky zapíše ke každému zařízení určitý kód. Solsoft NP nepodporuje
všechny typy firewallů, routerů, nebo VPN, které jsou na trhu nabízeny, ale
podporuje celou řadu nejvíce používaných produktů. Úskalí implementace
Pokud vám správa systémů pomocí Solsoft NP zní jako snadná varianta, pak věřte,
že skutečná implementace v našem firemním prostředí znamenala všechno, jenom ne
snadné řešení. Neexistoval snadný způsob, jak převést našich 4 300 pravidel pro
firewall do formátu, který by umožnil produktu Solsoft NP, aby je mohl řídit.
Zmíněný produkt také nedokázal identifikovat naši aktuální skupinu pravidel.
Museli jsme zpracovat, přetavit a konsolidovat konfiguraci PIXu do formátu, se
kterým mohl Solsoft NP pracovat. Nemohl jsem nalézt ten správný nástroj, který
by nám pomohl automatizovat proces převodu naší skupiny používaných pravidel.
Někdo s dobrou programovací znalostí Perlu by možná mohl napsat skript, který
by celou práci zvládnul, ale trvalo by nejméně týden, než bychom tento postup
vyřešili. Proto jsem nakonec vyexportoval pravidla firewallu PIX do tabulky
Excelu a potom jsem manuálně procházel všechna data. Při této příležitosti jsem
konsolidoval původní pravidla do metatříd. Uvedu příklad: Viděl jsem, že 250
pravidel PIXu zahrnovalo 50 individuálních sítí a všechny tyto sítě byly
konfigurovány tak, aby mohly komunikovat s jedinou IP adresou na pěti různých
portech. Vytvořil jsem dvě metatřídy jedna obsahovala zmíněných 50 sítí
(net-group) a druhá obsahovala zmíněných pět portů/připojení na služby
(svc-group). Toto uspořádání mi umožnilo jednoduše zadat pravidlo Solsoftu NP
zadáním spojnice mezi oběma objekty. Solsoft NP vygeneroval kód, který umožnil
metatřídě sítí (net--group) komunikovat s jedinou IP adresou na pěti
portech/službách v druhé metatřídě (svc-group). Během 10 hodin práce jsem
dokázal konsolidovat 4 300 řádků našich specifických pravidel pro firewall PIX
do pouhých 130 řádků. Dosud jsme ale Solsoft NP vlastně jen zkoušeli. Nyní
čekáme na oficiální verzi produktu s licencí. Do té doby budu používat naši
zkušební verzi ke konsolidaci ostatních firewallů v naší firmě.

Webové odkazy
- Na webové stránce Solsoftu (www.solsoft.com) získáte podrobné informace o
zařízeních, která podporuje nástroj správy bezpečnosti Solsoft NP.
- Netfilter a Ptables (netfilter.samba.org) jsou volně stáhnutelné aplikace
firewallu pod Linuxem; naše firma uvažuje o jejich implementaci.
- Pokud jste věrnými stoupenci produktu Check Point Firewall-1, pak pro vás
bude web www.phoneboy.com tím správným místem, kam se podívat kvůli získání
dalších cenných informací. l Webová stránka firmy Cisco na adrese
www.cisco.com/warp/public/cc/pd/fw/sqfw500/index.shtml nabízí další podrobnosti
o řídicích nástrojích pro PIX firewall, o nichž se zmiňujeme v hlavním textu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.