UTM – Jednotná správa hrozeb (1)

Ještě koncem devadesátých let, v dobách, kdy se telefonovalo přes analogové linky a IP adres byl dostatek, byla většina firemních sítí připojena do internetu přímo. Firemní počítače měly veřejné adresy, a tak byly přímo dostupné odkudkoli ze sítě.


Pokud bylo nějakým způsobem řešeno zabezpečení, obvykle se omezovalo na překlad adres na hraničním routeru a jestliže firma disponovala znalejším administrátorem, mohl být tento router rozšířen ještě o stavový firewall. Jen u největších korporací s podezřívajícími administrátory se vyskytovaly servery s poměrně drahým softwarem, který měl za úkol roztřídit provoz na povolený, a ten ostatní.

S tím, jak dostatečně výkonná PC stárla, se na důležitém místě, hned za firemním routerem začaly objevovat stroje vybavené dvěma a více síťovými kartami. Ty pak, s Linuxem uvnitř, začaly plnit funkci cenově dostupného firewallu. Díky univerzálnosti instalovaného operačního systému mohly mít i další funkce – zabezpečení webového rozhraní k firemní poště, jednoduchou antivirovou bránu a v podstatě cokoli, co správce musel nebo chtěl uživatelům nabídnout.

Problémem těchto strojů však byla jejich spolehlivost: údržba operačního systému a všech nainstalovaných aplikací vyžadovala neustálou péči kvalifikovaného administrátora a spolehlivost celého připojení přímo závisela na kvalitě komponent konkrétního stroje. To způsobilo nárůst poptávky po zařízeních, která by nabízela stejné funkce jako tato PC, ale jež netrpěla avizovanými neduhy. Od univerzálních strojů se tedy zařízení na perimetru vrátila zpět ke specializovaným boxům UTM (Unified Threat Management), tentokrát už ale vyzbrojeným výkonným hardwarem a širokou paletou nabízených funkcí.

 

Box na hranici sítě v současnosti provádí základní řízení procházejícího provozu. To je obvykle realizováno tak, že jsou definovány bezpečnostní zóny s přiřazeným stupněm nebezpečnosti. Mezi zónami jsou definována pravidla pro provoz na úrovni IP adres a portů. Dále lze nastavit šířku pásma, kterou tyto služby dostanou, a prioritu (QoS – 802.1q). To jsou ty úplně nejzákladnější služby na 2. a 3. vrstvě ISO/OSI modelu. Vzhledem k výkonu, kterým tato zařízení disponují, lze ale požadovat i víc.

Firmy mají často více poboček, které je třeba datově propojit, ať už kvůli připojení k poštovnímu serveru, napojení na informační systém nebo třeba úspoře poplatků za telefonování propojením přes IP síť. Původní řešení pomocí vyhrazených okruhů Frame relay se často ukazovalo jako drahé a zároveň zbytečně komfortní. Jednou z variant je nechat si toto propojení dodat přímo od poskytovatele služeb (ISP) jako volitelnou službu běžné datové přípojky. To ale znamená závislost na poskytovateli a ztíženou pozici při každoročním obnovování smlouvy.

 

Na hranici

Jinou variantou je využít právě box na hranici sítě. Zařízení by mělo poskytovat dostatečný výkon pro spojení pomocí IPSec VPN tunelů – některé na to mají dokonce vyhrazený koprocesor. Tento typ propojení je dostatečně flexibilní s ohledem na zvolený typ připojení i geografickou lokalitu, a proto je často používán pro propojení zahraničních firem s tuzemskými pobočkami.

IPSec VPN je s oblibou používáno nejen pro propojení pobočkových LAN, ale i pro připojení jednotlivých počítačů. Obvykle jsou takto připojováni obchodní cestující, manažeři, lidé pracující z domova (telecommuting) a další.

V případě většího množství uživatelů používajících VPN připojení je vhodné jejich účty centrálně spravovat a případně řídit jejich přístupy. Většina těchto zařízení v současnosti umí nejen používat autentizaci proti interní databázi uživatelů, ale i proti externím autentizačním serverům – nejčastěji RADIUS, LDAP (včetně jeho modifikace ActiveDirectory) a někdy i dalším (TACACS+, Diameter, …).

Na základě autentizace (příslušnosti uživatele k definovaným skupinám) pak přiřadí uživateli odpovídající přístupová práva. Samozřejmě lze zohlednit i čas – například nemusí být žádoucí, aby dodavatel informačního systému prováděl úpravy v pracovní době. Faktor času lze samozřejmě využít i u dalších funkcí, například přenosy pomocí FTP nebo zálohování vzdálených systémů přes den dostanou nižší šířku pásma než v případě realizace této činnosti přes noc (například se může jednat o stále se rozmáhající automatizované vzdálené zálohování notebooků).

 

O slovo se hlásí UTM

V takto komplexní síti s množstvím uživatelů připojujících se z různých míst na světě je složitější udržet nezávadnost přenášených dat; analogicky rovněž likvidace případného viru nebo nějakého podobného problému je daleko náročnější.

K vyřešení tohoto problému lze s výhodou využít právě zařízení na hranici sítě. Pokud umí řídit provoz komplexně, i na základě jeho obsahu, používá se pro něj označení UTM. Výkonnější UTM nabízejí rovněž interní IPS (Intrusion Prevention System), zkoumající celý paket, tedy včetně tzv. payloadu a podle skutečného obsahu provozu s ním patřičně naloží.

Lze tedy účinně omezit tunelování např. http protokolů jinými – například Skype bývá bez IPS poměrně obtížně řešitelný oříšek. Je ale třeba poznamenat, že kontrola na 7. vrstvě (L7) je značně náročná na procesorový výkon, proto bývá v případě nasazení limitujícím faktorem průchodnosti celého zařízení.

Pokud nestačí běžná kontrola na L7, nabízejí některé UTM i aplikační proxy, ve kterých lze jít už opravdu do detailů: například správce může zakázat prohlížení internetu pomocí MS Internet Exploreru, zatímco Firefox povolí. Těchto aplikačních proxy je ale většinou omezené množství, často jen pro nejpoužívanější nešifrované protokoly. Sporným bodem při nasazování těchto aplikačních proxy je nutná modifikace hlaviček paketů kontrolovaného datastreamu – v některých konfiguracích (například poskytování služeb třetím stranám) nemusí být tato vlastnost žádoucí.

Co UTM umí

Hlavní vlastností UTM zařízení je tedy úplná kontrola nad procházejícím provozem. Snad všechna zařízení nabízí ochranu před viry přicházejícími z vnějšího prostředí. Princip je stejný jako u běžného antivirového programu, tedy porovnávání procházejících dat s databází virových vzorků a v případě nalezené shody v datovém toku je toto spojení přerušeno. U sofistikovanějších implementací je z probíhajícího spojení nežádoucí kód při průchodu „vyčištěn“ - uživatel tak třeba může stáhnout zavirovaný soubor, avšak dostane ho již bez obsahu škodlivého kódu.

Stejný postup lze aplikovat i na další hrozby přicházející z internetu: spyware, trojské koně, keyloggery atd. – zde se samozřejmě nejedná o viry v pravém slova smyslu. Metoda detekce je stejná, hlavním rozdílem je odlišná logika plnění databáze vzorků. Nadmnožinou těchto bezpečnostních technik je výše zmiňovaný IPS.

Někteří výrobci také zkouší do zařízení UTM implementovat antispamové brány avšak vzhledem k odlišnému způsobu detekce zpravidla nebývají příliš úspěšní. Obvykle je totiž antispamový engine založen pouze na blacklist/whitelist řešení, které při nekompromisním nasazení může znamenat nepříjemnosti v podobně falešných pozitiv (zbytečně odmítnutých mailů) i negativ (úspěšně doručených spamů).

Postupně se prosazuje i využití cloud computingu, kdy výrobce vytváří databázi spamů zachycených ze speciálních, k tomu určených sond rozmístěných po celém světě. Brána potom pro každou procházející zprávu vytváří hash, který on-line porovná s databází výrobce. Pokud ID souhlasí, spojení je přerušeno.

Vzhledem k tomu, že odhalování spamů je poměrně komplexní problematikou, nelze použití těchto technik doporučit tam, kde má být e-mail používán jako seriózní komunikační kanál. Problémem je právě ona definitivnost, kdy je zpráva vyhodnocená jako spam rovnou odmítnuta – příjemce tak nemá vliv na klasifikaci zprávy a často se o zprávě vůbec nedozví.

Jako antispamová řešení jsou tedy nasazována spíše zařízení řešící tuto oblast komplexně, nejen jako klasifikaci e-mailů z hlediska vyžádanosti, ale i na základě dalších kriterií, kterým může být třeba soulad s právními předpisy. Ale to už je téma na jiný článek.

Druhý díl

Text vyšel v tištěném SecurityWorldu 4/2008.











Komentáře