UTM – Jednotná správa hrozeb (2)

21. 7. 2009

Sdílet

Výkonnost UTM zařízení samozřejmě láká k využívání jeho vestavěné inteligence a především bezpečnostních funkcí i ke kontrole provozu uvnitř firemní sítě. To ale naráží na jeden zásadní problém: Jak kontrolovat provoz, který přímo přes toto zařízení neprochází?

 (dokočení včerejšího článku)

Tento problém lze (jako obvykle) řešit různými způsoby.

Firemní sítě bývají často rozděleny pomocí VLAN na různé logické zóny (různá oddělení, servery podle určení atp.). To pomáhá optimalizaci datových toků a zároveň omezuje běžná nebezpečí přicházející z vnitřní sítě. Právě směrování dat mezi jednotlivými VLAN zajistí topologii, která odpovídá výše zmiňované logice bezpečnostních zón a lze tedy nasadit veškeré odpovídající bezpečnostní kontroly.

Jiným řešením, které se objevila celkem nově, je využití inteligence a výkonu přímo síťových prvků. Dnešní přepínače jsou dostatečně výkonné na to, aby kromě samotného přepínání dokázaly ještě provádět další činnosti, v tomto případě počítat statistiky jednotlivých klientských stanic a jejich připojení. Vytvořením statistik obvyklého provozu lze detekovat anomálie, při jejichž výskytu přepínač vyvolá alarm. Tady je právě místo pro integraci s UTM: „alarmem“ totiž může být i nejen notifikace administrátora, ale i automatická rekonfigurace vyhrazeného portu propojeného s UTM tak, aby zrcadlil provoz portu vykazujícího anomální chování. Díky tomu získá UTM možnost pomocí IPS vyhodnotit, co je vlastně příčinou těchto odlišností. Pro administrátora je pak řešení problému nesrovnatelně snazší.

 

Duplikace funkcí

Firmy jsou dnes stále více závislé na komunikaci. Představa firmy, která pouhý jeden pracovní den kvůli výpadku připojení nemůže komunikovat se zbytkem světa, je noční můrou každého administrátora. Nejen, že podnik přichází o peníze, ale navíc mají uživatelé najednou dostatek času obtěžovat administrátora dotazy typu „Kdy už to bude fungovat?”. A protože staré přísloví praví „Co je lepší než pivo? Dvě piva!“, je způsob řešení nasnadě. Duplikování důležitých komponent je nejlogičtější cestou, jak zvýšit odolnost proti výpadku, a to nejen připojení, ale celého informačního systému. Firmy již od SOHO segmentu dnes běžně používají servery se dvěma zdroji, dvěma i více disky a čím dál častěji se duplikují rovnou celé servery.

V SMB segmentu se také již běžně používají clustery serverů a diskových polí. A pokud je tato metoda tak osvědčená, proč neduplikovat i připojení k internetu? Dříve se jako záloha používalo vytáčené připojení, dnes při klesajících cenách konektivity lze stále častěji narazit na různé kombinace digitálních okruhů, ADSL, SHDSL či WLL.

Většina vyráběných UTM zařízení zvládá již od nejmenších a nejjednodušších modelů připojení více než jednoho operátora a monitoring stavu jednotlivých připojení. Při výpadku primárního spojení pak přepne na záložní připojení, a pokud uživatel vlastní zařízení od kvalitního výrobce, po zprovoznění primárního spojení zase přepne zpět. Chytřejší UTM boxy umožňují také rozdělovat zátěž mezi jednotlivá připojení podle stanovených kriterií – pokud už se platí paušál za záložní linku, proč ji nevyužít například pro posílení rychlosti té primární.

Samozřejmě by byla chyba připojení od dvou různých poskytovatelů zakončit v jednom firewallu, takže je vhodné duplikovat i ten. Přístupy k implementaci vysoké dostupnosti firewallů se u však různých výrobců liší. Nejběžnější je filozofie hlavního a záložního zařízení: jeden UTM box pracuje jako primární, řídí veškerý procházející provoz a z pohledu zvenčí vypadá jako jediné zařízení. Záložní box pak pouze monitoruje jeho provoz, aby v případě výpadku převzal veškerou jeho činnost. Monitoring zajišťuje mezi oběma zařízeními přes L2 switche na obou stranách boxů (viz. obr. 1).

Mezi zařízeními jednotlivých výrobců jsou pak menší rozdíly například ve schopnosti převzít již navázaná spojení, protokolech používaných pro monitoring apod. Je zřejmé, že to není ideální využití vložených investic. Výhodnější je tedy druhý přístup, kdy oba boxy jsou spojeny do clusteru, vystupují pod virtuální IP adresou a podle stanovených kriterií si mezi sebou rozdělují zátěž. Monitoring probíhá přes přímé spojení obou zařízení pomocí tzv. heartbeatu.

Tak uživatel získá možnost duplikovat infrastrukturu před i za firewally (viz. obr. 2), a zároveň vyšší průchodnost než v předchozím scénáři – výkon obou zařízení lze zjednodušeně řečeno sečíst. Toto řešení je výhodné i pro méně běžné scénáře, například pokud je třeba využít vestavěný IPS engine pro výše zmiňovanou detekci anomálií v LAN.

 

Bezdrátové připojení

Další funkcí, která čím dál více proniká do podnikových sítí, je podpora bezdrátového připojení. Administrátoři tento druh připojení nevidí rádi – je těžké specifikovat, kam až vlastně sahá jejich síť a právě tato vlastnost si vynucuje zabezpečení v běžné drátové LAN běžně nepoužívané. Přestože standard 802.1x definující pravidla pro přístup do sítě je již nějakou dobu na světě, v podnikových sítích LAN se moc nerozšířil. S postupem bezdrátového připojení se ale tato funkce dostává do úplně jiného světla. Primární úlohou je autentizace uživatelů připojovaných do sítě a následná autorizace. Samozřejmě je dobré po celou dobu jejich činnosti sledovat, zda neprovádějí nějakou neplechu.

Nepříliš zdůrazňovaná, ale neméně důležitá je podpora standardů pro správu, dohled a logování. Je logické i tato zařízení začlenit do již existujícího monitoringu firemní infrastruktury, a pokud ještě žádný neexistuje, výrobci ochotně nabízí vlastní software.

 

Závěrem

Snad nejdůležitější vlastností je celková spolehlivost UTM zařízení. Failover pomocí zdvojení některých komponent i celého zařízení je vzhledem k nákladům obvyklý především v podnikovém segmentu. Pro SMB se je důležitá spolehlivost zařízení jako takového, a to nejen hardwarových komponent, ale i celková odladěnost softwaru. To bývá často v kolizi na požadavek rychlé reakce na záplatování případných bezpečnostních děr. Odpovědný přístup k tomuto problému bývá často obtížný i pro etablované výrobce.

Dnešní UTM zařízení nabízejí mnoho bezpečnostních funkcionalit, ne vždy je ale možné používat všechny najednou. Často je omezením nedostatečný výkon hardware, lze i narazit na zařízení, ve kterém se jednotlivé funkce vylučují – ať už z důvodu výměnných komponent nebo vzájemné softwarové nekompatibility. Cestou k dosažení vyšší spolehlivosti zařízení je omezení kritických komponent: použití flash pamětí namísto pevných disků, v SMB segmentu u boxů s nižším výkonem lze často využít zdroje s pasivním chlazením apod.

UTM je často klíčovou komponentou ochrany IT, která v synergii s ostatními aktivními prvky sítě bdí nad bezpečností dat pohybujících se směrem na internet i těch ve firemní síti. Zároveň je ale kritickým místem ovlivňujícím chod celé této sítě. Je tedy třeba před nasazením důkladně zvážit všechna rizika a jako vždy – postupovat s rozumem.

ICTS24

 

Text vyšel v tištěném SecurityWorldu 4/2008.