Zabezpečení vstupu do sítě je nedostatečné Hrozí útoky zevnitř

26. 10. 2006

Sdílet

Pohled na bezpečnost se v posledních letech výrazně změnil. Zabezpečit perimetr, tedy vstup do sítě, je nedostatečné, je totiž nutné chránit i vnitřní síť. Souvisí to především s mobilitou uživatelů.

Různá mobilní zařízení (notebooky, PDA) jsou dnes prakticky samozřejmostí. Při používání podobných zařízení na nejrůznějších místech - hotspoty, hotely, nádraží apod. - se pravděpodobnost nákazy škodlivým kódem výrazně zvyšuje. Po připojení zpět do vlastní sítě LAN se pak tato nákaza šíří bez jakékoliv kontroly "zevnitř". Rovněž roste počet instalovaných bezdrátových sítí i potřeba umožnit připojeni do sítě návštěvníkům a partnerům. Roste tak riziko neoprávněného přístupu k datům, riziko odposlechů atd.
Jak předejít podobným rizikům? "Posunout" ochranu hlouběji do sítě, jinými slovy rozdělit síť na více segmentů? Bezpochyby je to krok správným směrem. Firewally, systémy prevence průniku (IPS), AV brány však byly navrženy pro ochranu perimetru/okraje. Jedním z problémů, který s tím souvisí, je výkon. Připojení k internetu má rychlost zpravidla v řádu jednotek nebo desítek Mb/s, v LAN sítích se ovšem setkáváme s rychlostmi v řádu Gb/s. Větší bezpečnost je pak vykoupena nižším výkonem nebo mnohem vyšší cenou. Firewallů se schopností zpracovat miliardy bitů za sekundu (Gb/s) není mnoho a jejich cena se pohybuje v řádech desítek až stovek tisíc dolarů. Dalším problémem může být i logická struktura sítě, resp. IP adresace.

Definovat pravidla pro vnitřní síť je nemožné
Většina firewallů totiž funguje na třetí vrstvě (L3). To by znamenalo rozdělení sítě na podsítě (subnety) a její kompletní přeadresování. Samozřejmě existují výjimky, které fungují na L2, tedy transparentně, například Brick od Lucent Technologies. Otázkou rovněž je, jak definovat bezpečnostní pravidla? Pravidlo je na firewallu definováno následovně - zdrojová
IP adresa nebo subnet, cílová IP adresa, TCP nebo UDP port, povoleno/zakázáno. Taková pravidla jsou pro vnitřní sít prakticky nepoužitelná. Mimo jiné i proto, že se často využívá dynamické přidělování IP adres (DHCP). Práva na přístup k informacím zpravidla souvisí s rolí uživatele, jinými slovy s jeho organizačním zařazením. Stejně tak je nutné vidět, co uživatel dělá až po L7, tedy jaké aplikace používá.
Jak by tedy mělo vypadat ideální řešení? Jak uživatele identifikovat?
Mělo by přinést maximální výkon a chovat se jako tradiční přepínač, tedy pracovat na druhé vrstvě. To znamená, že bezpečnost nemůže znamenat kompromis na úkor propustnosti sítě. Jeho použití pak musí být maximálně jednoduché, aniž by měl správce dělat v síti změny.
Pak se musí zamyslet, koho a za jakých podmínek je ochoten pustit do sítě. V první řadě si musí být jist identitou uživatele. Pro autentikaci uživatele rozhodně nestačí znát jeho MAC adresu a IP adresu. Ty mohou být velice snadno podvrženy. Pro ověřování identity se většinou používá RADIUS nebo adresářové služby, nejčastěji v podobě Active Directory.
Zároveň musí správce vědět, v jakém stavu je zařízení, z něhož se uživatel připojuje, zda má aktuální verzi antiviru, instalované poslední patche pro daný operační systém atd. To lze ověřit pomocí agentů JAVA nebo ActiveX - pro zajímavost: stejně funguje i mechanismus Windows Update.
Nyní tedy ví, kdo a z čeho se připojuje, propojil aktuální MAC adresu, IP adresu a jméno uživatele a může uživatele pustit do sítě. Nicméně autentikace nedává odpověď na otázku, co může dotyčný v síti dělat. To je záležitost autorizace. Zde je velice důležité mít možnost definovat pravidla podle zařazení (anglicky role) uživatele v organizaci. Pravidla se nedefinují pro Josefa Nováka, ale pro pracovníka účetního oddělení, ředitele, skladového pracovníka atd. Rovněž nelze pravidla v LAN definovat na čtvrté vrstvě (L4), ale opravdu podle aplikací, které má tento uživatel právo používat: SAP, Oracle, jednotlivé části intranetového portálu.
Pokud by se uživatel pokusil pravidla porušit, měl by být správce informován, a to jak okamžitě, tak ve formě dlouhodobého záznamu (accounting) s možností vytvářet reporty. Existuje totiž řada zákonů (zákon Sarbanes-Oxley v USA) nebo oborových norem (HIPAA ve zdravotnictví), které ukládají jako povinnost uchovávat data o aktivitách uživatelů, právě proto, aby se zpětně dohledaly prohřešky.
Ideální je řešení, které dokáže nabídnout všechny výše uvedené vlastnosti, může pak vypadat jako na obrázku.

Na trhu najdete jen částečná řešení
Na trhu však můžeme najít většinou jen částečná řešení. V poslední době se hodně mluví o 802.1x. To je však pouze řešení pro povolení vstupu do sítě, přesněji řečeno povolení/zákaz portu na přepínači, přes který se uživatel do sítě připojuje. Co bude dělat uživatel po připojení, však už nijak neovlivní. Rovněž jste mohli slyšet o NAC - Network Admission Control. NAC dokáže nejen ověřit identitu uživatele, ale i ověřit stav zařízení, ze kterého se připojuje. Nejproblematičtější částí je prosazení pravidel, jinými slovy: jak ohlídat, co může uživatel v síti dělat. Už dnes nabízí řada výrobců možnost dynamicky vytvořit přístupová pravidla (ACL - Access Control List) ve spolupráci s agentem NAC. Problém je však s tím, co přepínač "vidí". Obvykle se jedná o zařízení pracující na 2. až 4. vrstvě a jak již bylo několikrát zdůrazněno, bez rozlišení na sedmé jsou možnosti prosazování smysluplných pravidel velmi omezené. Implementace bezpečnostních vlastností do přepínačů je bezpochyby trend, ale znamená to vyvinutí hardwaru (ASIC, NP - Network Processor), který bude schopen provádět bezpečnostní funkce stejně rychle jako samotné přepínání. To určitě bude trvat několik let.

Existují první průkopníci
Už dnes však můžeme potkat v této oblasti první průkopníky. Patří k nim například americká společnost Consentry Networks (www.consentry.com). Nabízí jednak transparentní hardwarové zařízení, které se umístí před páteřní přepínače nebo datová centra, a jednak přímo přepínače, které jsou schopny:
n Zjistit totožnost uživatele, a to pasivně odposlechem při jeho přihlašování k AD (viz obrázek) nebo RADIUSu nebo aktivně pomocí přihlašovacího portálu.
n Zjistit stav zařízení, z něhož se uživatel přihlašuje (ve spolupráci s agenty NAC různých výrobců).
n Vizualizovat provoz až na sedmé vrstvě (opravdu lze vystopovat, že Josef Novák přistupoval k souboru platy.xls).
n Hlídat a prosazovat pravidla provozu z pohledu rolí jednotlivých uživatelů, jinými slovy z pohledu organizační struktury firmy.
n Zaznamenávat podrobné informace o aktivitách a okamžitě hlásit pokusy o porušení definovaných pravidel.
n Detekovat škodlivé kódy v síťovém provozu a okamžitě je blokovat.
To vše s garantovaným výkonem 10 G/ps. Jedná se o dobrý příklad toho, co čeká ostatní výrobce, kteří se chystají působit v oblasti bezpečnosti sítí LAN. Consentry používá čip se 128 jádry (pro zajímavost: klasičtí výrobci procesorů nyní hovoří o 2-4 jádrech na procesor).
Sítě LAN zaznamenaly v posledních 10 letech obrovský výkonnostní skok. V počátcích bylo důležité (a nikoliv samozřejmé) zajistit samotné připojení. Od sdíleného Ethernetu se přešlo k přepínanému a hlavní roli hrála rychlost, respektive výkon. Od 10 M/ps jsme se dostali k dnešním 10 Gb/s. V současné době se ovšem do popředí dostává spíše otázka bezpečnosti, protože rychlost už není pro podniky nebo organizace tak klíčová.

Petr Lasek pracuje ve společnosti VUMS Datacom.

Autor článku