Jak ochránit moderní sítě

28. 6. 2006

Sdílet

Počet bezpečnostních incidentů roste geometrickou řadou. Není tedy divu, že rostou i investice do bezpečnosti IT.

Bohužel neroste jen kvantita, ale mění se i kvalita útoků, které jsou stále sofistikovanější a často kombinují více způsobů, jak můžete vidět na obrázku. Znamená to nutnost doplnit stávající řešení jako je firewall nebo antivir o nové produkty nebo o nové vlastnosti. Zajištění rozumné míry bezpečnosti se tak stává složitější. Určitě není od věci zjistit, jaké prostředky mohou naši síť ochránit.
Nárůst počtu incidentů souvisí mimo jiné i s mobilitou uživatelů. Stále více uživatelů používá notebooky, PDA, bezdrátové sítě. Řada červů se úspěšně šíří právě díky tomu, že byli "zavlečeni" do vnitřní sítě na mobilním zařízení. Padá tak klasická představa o ochraně sítě, nestačí chránit pouze perimetr, tedy vstup do sítě. Vstupů do sítě je nyní najednou více a k vnitřní LAN je potřeba přistupovat jako k nedůvěryhodné. Vzniká nová kategorie produktů, označovaná nejčastěji jako NAC (Network Access Control). K průkopníkům v této oblasti patří společnost Consentry Networks.

Ochrana již není triviální
Zatím se tento problém často řeší rozdělením sítě na více částí, ať už logicky například pomocí VLAN nebo fyzicky, jednotlivé části jsou pak propojeny přes firewall. Komplikaci může způsobit i nutnost změny adresace. Typický firewall funguje na třetí vrstvě (L3), provádí routing (směrování) a překlady adres (NAT). To vše znamená komplikovanou topologii. Ani to nemusí být problém, pokud si vybereme správné řešení. Například řada firewallů Brick od Lucent Technologies funguje na L2, tudíž žádné změny v IP adresaci nejsou nutné.
Klasický firewall má však svá omezení. Stavový firewall prakticky dokonale chrání před síťovými útoky na 3. a 4. vrstvě. Jeho primárním úkolem je zabránit neoprávněnému přístupu do sítě. Stále více útoků však využívá nedostatků a chyb konkrétních aplikací. Firewall nemůže nic vědět o chybách v aplikacích jako IIS nebo Apache Server, prostě jen propouští legální webový provoz (HTTP). Takový typ útoků dokáže odhalit zařízení, které rozumí aplikacím, tedy pracuje na sedmé vrstvě.


Proxy je jedno z řešení
Jednou z možností je použít proxy. Jedná se o řešení, které obsahuje klienta i server pro danou konkrétní aplikaci. Spojení se tedy ukončí na serverové části proxy a klient směrem do sítě naváže zcela nové spojení. Eliminuje se tím celá řada útoků. Proxy však rovněž má svá omezení. V první řadě je to omezená množina podporovaných aplikací. Druhým limitem je pak výkon a nemožnost řešení vysoké dostupnosti. Typickým zástupcem této kategorie je ISA od Microsoftu.
Jinou možností, jak odhalit (detekovat) útoky na sedmé vrstvě, je použití systému prevence průniku (IPS - Intrusion Prevention System). IPS dokáže z jednotlivých paketů sestavit spojení, jako to dělá firewall, ale u řady aplikací dokáže provozu porozumět stejně jako cílová aplikace. Kombinuje více metod jak detekovat útok a může jej okamžitě blokovat. Nejčastějšími detekčními metodami je porovnávání signatur a detekce protokolových a provozních anomálií. První metoda porovnává řetězce a je založena na srovnání provozu s databází útoků, podobně jako u antiviru. Při detekci protokolových anomálií je provoz dané aplikace porovnáván se standardem. Pokud útočník při navazování spojení s poštovním serverem pošle jako odpověď 1024B místo 512B, znamená to útok typu přetečení zásobníků (buffer overflow).
Poslední metoda je schopná zjistit neobvyklý provoz. Neexistuje aplikace, která by z nějakého důvodu kontrolovala dostupnost TCP portu 80 na všech IP adresách v síti. Nabídka IPS je relativně pestrá - zajímavým řešením je např. DefensePro od RADWARE či NetKeeper od Broadweb.


Bezpečnost obsahu
Další úrovní bezpečnosti je tzv. content security, tedy bezpečnost obsahu. Někdy jej výrobci označují jako řešení L7+ nebo L8. Není to až taková marketingová nadsázka, jak by se mohlo zdát. Například u HTTP protokolu dokáže takové řešení opravdu přehrát flash soubor a posoudit jeho bezpečnostní riziko. Je jasné, že je nutné podrobně znát podporované aplikace, na druhé straně ale takových aplikací není mnoho. V podstatě stačí podporovat webové aplikace a poštu.
O tom, že se nejedná o triviální záležitost, svědčí i to, že výrobci se zpravidla specializují pouze na jednu oblast - například PineApp na bezpečnost pošty, Finjan na bezpečnost webových aplikací. Je zajímavé, že většina výrobců bezpečnostních řešení ignoruje P2P aplikace, i když představují značné bezpečnostní riziko. Paradoxně pak produkty pro traffic management, jako je NetEnfrocer od Allot Communications, toho mohou v oblasti P2P nabídnout mnohem více.


Výkon je v době širokopásmového internetu nesmírně důležitý
Pro mnoho zákazníků je zásadním problémem všech výše uvedených řešení výkon. S tím úzce souvisí i cena. Uvedená řešení byla navržena pro ochranu perimetru sítě a i dnes, v dobách širokopásmového internetu, je typická kapacita přípojky v desítkách Mb/s (megabitů za sekundu). Dnes je v sítích LAN přepínaný gigabitový Ethernet běžnou záležitosti. Existují samozřejmě gigabitové firewally (nejvýkonnější na trhu je momentálně NetScreen 5400 s výkonem 30 Gb/s), ale jejich ceny se pohybují v desítkách tisíc amerických dolarů.
Samozřejmě ideálním řešením by mohlo být "vše v jednom". Takové produkty se označují UTM (Unified Threat Management) a řada výrobců do jejich vývoje nyní investuje. V současné době lze říci, že podobné produkty jsou zatím použitelné pro malé firmy. Tam, kde je potřeba garantovaný výkon a využití všech možností, je dobré být velice opatrný a vše velice důkladně testovat předem, nejlépe v reálném provozu.
Jak je vidět, bezpečnostních řešení je celá řada a objevuje se otázka, jak zajistit, aby vše fungovalo. Jinými slovy, jak z jednotlivých produktů vytvořit bezpečnostní centrum. V této oblasti je nabídka zatím omezena, ale příkladem je přepínač L7 SecureFlow od RADWARE. Jedná se o přepínač, který podle obsahu provozu dokáže rozlišit aplikace a přesměrovat provoz na příslušné bezpečnostní produkty, a to dokonce ve zvoleném pořadí - nejdřív firewall, pak AV brána atd. Navíc dokáže sdružovat zařízení nebo servery do farem a zajistí tak vysokou dostupnost i výkon (viz obrázek).

Petr Lasek pracuje ve společnosti VUMS Datacom.

Kombinovaný útok na síťové zdroje.
Integrace bezpečnostních produktů pomocí SecureFlow.

Autor článku