Bezpečnost integrovaná v síti

16. 5. 2005

Sdílet

Bezpečnostní brána je ve většině středně velkých a malých organizací stále jediným prostředkem chránícím síť a informační systémy uvnitř sítě. Odpovídá to však současným rizikům?

Bezpečnostní brána byla dlouho jednoznačnou a snadno uchopitelnou hranicí,
oddělující firemní síť od vnějšího světa. IT organizace se tradičně
soustřeďovala na obranu této hranice a kromě instalace protivirové ochrany na
serverech a pracovních stanicích nedělala pro zabezpečení vnitřní sítě téměř
nic. Obstojí ještě takto zjednodušený přístup k bezpečnosti firemních
informačních systémů tváří v tvář novým hrozbám? Jaké tyto nové hrozby vlastně
jsou?
Účinné zabezpečení firemních informačních systémů znamená několik věcí. Je to v
první řadě zabezpečení fungování, dostupnosti a výkonu informačních systémů.
Dále se jedná o kontrolu a řízení přístupu do systémů a k informacím v souladu s
definovanou bezpečnostní politikou, chranou integrity informací a monitorování
přístupu. Na prvním místě uvádím funkci, o které si možná mnozí ze čtenářů
myslí, že mezi úkoly firemní bezpečnosti ani nepatří. Opak je pravdou. Průzkum
CSI (Computer Security Institute) a americké FBI ukazuje, že závažnost problému
neoprávněného přístupu k informacím a průniku do systémů v porovnání s minulým
rokem poklesla. Na první místo se dostal problém síťových virů a útoků typu
„denial of service“, tedy útoků vyřazujících z provozu informační nebo síťové
zdroje a způsobující kolaps informačních systémů. Vyřazení z provozu a následná
nutnost ošetřit nakažené systémy způsobují firmám a organizacím největší
finanční škody. Viry a síťoví červi, využívají bezpečnostné díry v různých
systémech a infikují je hromadně a bez rozlišení. Jakou efektivní ochranu proti
těmto novým hrozbám poskytuje tradiční koncepce bezpečnosti, popsaná v úvodu?
Jaká je nová koncepce bezpečnosti firemních informačních systémů?

„Rozmělnění“ hranice sítě
Úlohou IT oddělení je poskytovat služby vnitřním a také stále časteji vnějším
zákazníkům. Potřeba komunikace mezi dodavateli a odběrateli v rámci
extranetových sítí často znamená otevření nové hranice sítě. Podobně komplikuje
vzdálený přístup definici vnějšku a vnitřku sítě. Stará pravidla prostupnosti
mezi bezpečnostními zónami mohou být popřena novou obchodní logikou a potřebami
on-line aplikací. V síti také vznikají další potenciální bezpečnostní díry v
podobě bezdrátových lokálních sítí. U mnoha firem nejsou Wi-Fi sítě dostatečně
chráněné, i když technologie pro kontrolu identity uživatele a silné šifrování
komunikace existují již několik let. Nevystačíme s jedinou bezpečnostní branou,
která chrání hranici naší sítě. Nevyhnutelná je integrace bezpečnostních funkcí,
jako je firewall a IDS, do různých typů síťových prvků a jejich inteligentní
nasazení a správná konfigurace ve všech částech firemní sítě.

Rychlost šíření útoků
Síťový červ Blaster způsobil pandemii necelý měsíc (26 dní) poté, kdy byla
odhalena bezpečnostní díra, kterou k útoku využíval. V případě viru Sasser
uběhlo mezi zveřejněním informace o bezpečnostní díře a útokem jenom 17 dní. V
prvních minutách útoku jsou přitom v případě červů s podobnou „virulencí“ jako
měl Blaster nakaženy desetiticíce koncových stanic. Pravidla pro instalaci
opravných kódů (opravný kód = patch) jsou považována za jeden z klíčových
elementů firemní bezpečností politiky. Otázkou je, jestli nám vůbec zůstává čas,
kdy můžeme opravné kódy instalovat. Statistiky také ukazují, že bezpečnostní
díry přetrvávají v interních sítích mnohem déle než v systémech připojených k
internetu. Mnohé z virů se ve firemních sítích šíří ještě dlouho poté, kdy byly
z internetu vymýceny. Jedinou ob-
ranu proti zdrcující rychlosti a rozměrům techto ůtoků je automatizace
bezpečnostních funkcí sítě. Důležitá je schopnost autonom-
ně identifikovat hrozbu a zabránit šíření útoku už v zárodku. Účinnou ochranu
poskytuje nová generace systémů pro detekci a prevenci bezpečnostních průniků
(Intrusion Prevention System) v spojení se systémy, které dokáží ohodnotit možný
dopad hrozby v kontextu infrastruktury, která je ohrožena. Nevyhnutelná je také
účinná ochrana koncových stanic pomocí
bezpečnostních agentů (Host Based IPS).

Útoky přenášené uvnitř běžných protokolů
Téměř s naprostou jistou mohu tvrdit, že vaše bezpečnostní brána, pokud nějakou
máte, propouští komunikaci na portu 80 (HTTP). Obsah přicházející portem 80 ale
může obsahovat viry nebo jiný škodlivý kód. Je tomu tak v případě virů Nimda
nebo Code Red. Podobně může být útok veden prostřednictvím jiných běžně
otevřených portů. Situaci ještě více komplikuje šifrování. Protokol SSL sice na
jedné straně zabezpečí komunikaci mezi klientem a serverem, ale současně
znemožní nahlížet dovnitř paketů, které mohou obsahovat infekci. Ochrana proti
útokům uvnitř běžných protokolů musí zahrnovat hloubkovou inspekci paketů. Roste
také význam bezpečnostních agentů instalovaných na koncové stanice. Aktivní
ochrana koncových stanic zamezí útokům, které nemohou být odhaleny v síti.

„Zero-Day“ útoky
Ještě horší je případ, kdy opravný kód není k dispozici, nebo se dokonce jedná o
zcela nový, neznámý útok. Vzhledem k rychlosti šíření, kombinovanému účinku a
nakažlivosti známé u posledné generace síťových virů představují tyto útoky
závažnou hrozbu. Odpovědí je nasazení systémů s heuristickým vyhledáváním útoků,
které identifikují „nenormální“ chování v síti nebo v operačním systému
napadeného počítače

Mobilita a disciplína uživatelů
Využítí přenosných počítačů, které jsou připojovány do nechráněných sítí,
například k domácí síti s vysokorychlostním přípojením k internetu, představují
pro bezpečnost firemních sítí specifickou hrozbu. Mohou se stát zadními vrátky,
jimiž se do jinak chráněné firemní sítě dostanou viry nebo trojské koně. Pro
bezpečnost sítě je nezbytné, aby účinně spolupracovaly bezpečnostní funkce
koncových stanic i síťové infrastruktury. Z toho vychází i iniciativa Network
Admission Control. Cílem programu je sjednotit technologie ochrany koncových
stanic s řízením přístupu k síti a tím účinněji bránit síření nebezpečných
síťových virů a červů. Technologie umožňuje prověřit stav zabezpečení koncových
stanic a serverů a připustí do sítě pouze ta zařízení, která vyhovují stanoveným
pravidlům. Systém dokáže například na počítači zjistit přítomnost antivirové
ochrany, výsledky antivirové kontroly, verzi operačního systému, implementaci
bezpečnostních oprav, nastavení osobního firewallu nebo host based IDS systému.
Bezpečnost – funkce inteligentní informační sítě
Tradiční řešení informační bezpečnosti bylo založeno na jednotlivých, od sebe
oddělených technologiích a produktech, na nikdy nekončícím opravování
bezpečnostních děr a na instalaci nových specifikací virů do antivirových
programů. Celé odvětví informačních technologií ovšem směřuje k nové koncepci
řešení bezpečnosti. Ta je založena na komplexním pohledu na celou síťovou
infrastrukturu včetně koncových zařízení. S ohledem na poslední trendy a nové
hrozby bude dále růst význam bezpečnosti, integrované v síti. Schopnost
automatické reakce na hrozby, schopnost prevence a vynucování bezpečnostní
politiky v rámci podnikové sítě, včetně koncových stanic, je nedílnou součástí
architektury „Self Defending Networks“ společnost Cisco Systems. Dnes už nestačí
zakoupit silný firewall na hranici internetu a vnitřní sítě. Je nutné definovat
bezpečnostní politiku a systematicky ji realizovat. Je nezbytné pečlivě vybrat
stavební kameny sítě, ať už se jedná o směrovače, LAN přepínače, servery,
operační systémy a další součásti i s ohledem na úroveň zabezepčení, které mohou
poskytnout. Nedílnou součástí architektury je důsledné monitorování, jednotné
řízení a správa všech bezpečnostních zařízení.

Autor je zaměstnán ve společnosti Cisco Systems.

Autor článku