Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

Transkrypt

1 Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte zostało wiele funkcji, tzn. firewall, VPN, IPS, antywirus, antyspam i filtracja URL. Możliwości produktów UTM są często stawiane na równi ze specjalizowanymi rozwiązaniami zabezpieczeń. UTM posiadają zaimplementowanych wiele modułów ochrony, ale ich jakość i funkcjonalność jest bardzo ograniczona. Firmy dokonujące wyboru określonego rozwiązania zabezpieczeń powinny nie tylko sugerować się ceną produktów, ale także sprawdzić czy oferowane funkcje bezpieczeństwa są odpowiednie. W opracowaniu zostały przedstawione funkcje firewall dostępne w UTM na przykładzie urządzeń Fortigate firmy Fortinet oraz funkcje specjalizowanego rozwiązania firewall na przykładzie rozwiązania FireWall-1 NGX firmy Check Point Technologies. Omówione zostały tylko podstawowe, dostępne w konsoli graficznej, elementy konfiguracji firewall urządzeń UTM oraz specjalizowanych rozwiązań zabezpieczeń (tzn. bez ustawień w plikach konfiguracyjnych i linii poleceń CLI). W przypadku specjalizowanych rozwiązań zabezpieczeń firewall nie ma możliwości, aby przedstawić w sposób interesujący dla czytelnika wszystkie ich możliwości i dostępne ustawienia konfiguracyjne. System zabezpieczeń firewall ma na celu realizację następujących funkcji bezpieczeństwa: 1. Blokowanie prób nieupoważnionego dostępu zgodnie z ustaloną polityką bezpieczeństwa (kontrola i ograniczenie dostępu do sieci wewnętrznej). 2. Inspekcja ruchu sieciowego na wielu poziomach (m.in. firewall prowadzi kontrolę na podstawie adresów IP, kierunku i stanu połączeń, protokołów i aplikacji, indywidualnych użytkowników). 3. Tworzenie stref bezpieczeństwa i modelowanie charakterystyki ruchu między nimi. 4. Ukrywanie wewnętrznej organizacji i struktury sieci. 5. Monitorowanie stref bezpieczeństwa w celu generowania odpowiednich alarmów. 6. Szybkie powiadamianie administratorów w sytuacjach wyjątkowych (np. poprzez alarm na konsolę, , SMS). 7. Gromadzenie logów o zaistniałych zdarzeniach oraz zapewnienie możliwości tworzenia statystyk i raportów CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

2 Funkcje firewall w urządzeniu UTM (przykład Fortigate) Konsola administratora urządzenia Fortigate dostępna jest przez przeglądarkę WWW 1. Zasady filtracji ruchu sieciowego firewall definiowane są w postaci reguł. Konfiguracja kontroli dostępu zawiera strefy, adresy źródłowe i docelowe, serwisy, czas i akcję firewall oraz w ustawieniach zaawansowanych autentykację użytkownika i kontrolę zajętości pasma. W polityce firewall można włączyć dodatkowe elementy kontroli, jak AV, WF, AS i IPS. Do tego celu definiowane są profile ochrony (Protection Profile). Dostrajanie konfiguracji jest możliwe przez polecania CLI. 1 Administracja Fortigate może także odbywać się za pomocą oddzielnego urządzenia FortiManager CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 2

3 Monitorowanie pracy urządzenia odbywa się z głównego panelu konsoli WWW. Informacje nt. działania firewall można odczytać z logu urządzenia 2. 2 Do zbierania logów i tworzenia raportów można także wykorzystać oddzielne urządzenie FortiAnalyzer lub oprogramowanie FortiReporter instalowane na Microsoft Windows odbierające logi za pomocą Syslog CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 3

4 Funkcje firewall w specjalizowanym rozwiązaniu zabezpieczeń (przykład Check Point NGX) Konsola zarządzania zabezpieczeń Graficzna konsola zarządzająca SmartDashboard w Check Point NGX posiada cztery zintegrowane ze sobą panele. Definiowane i konfigurowane w nich obiekty mogą być w swobodny sposób przenoszone pomiędzy panelami na zasadach Drag & Drop (np. zdefiniowany obiekt Host może zostać z panelu Objects List przeniesiony bezpośrednio do reguły polityki bezpieczeństwa w panelu Policy Editor). Konsola SmartDashboard, składa się z następujących komponentów: 1. Objects Tree: panel obiektów polityki bezpieczeństwa FireWall-1 w formie rozwijanego drzewa, umożliwiający administratorom szybki dostęp do zdefiniowanych obiektów sieciowych, serwisów oraz innych konfigurowalnych elementów. 2. Policy Editor: edytor polityki bezpieczeństwa sieci, translacji adresów NAT, reguł zarządzania pasma sieci oraz dodatkowo polityki bezpieczeństwa stacji Desktop. 3. Objects List: panel obiektów polityki bezpieczeństwa FireWall-1 w formie listy, prezentujący przegląd elementów zaznaczonych w panelu Objects Tree. 4. SmartMap: system wizualizacji polityki bezpieczeństwa FireWall-1, przedstawiający w formie graficznej mapy (schematu) środowisko sieciowe systemu informatycznego wraz z funkcjonującymi w nim zabezpieczeniami CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 4

5 Reguły polityki bezpieczeństwa Policy Editor umożliwia zapisywanie i weryfikowanie poprawności reguł kontroli komunikacji sieciowej. Prowadzona weryfikacja zapewnia utrzymanie ich logicznej niesprzeczności. Na rysunku wyszczególniono pytania, na które należy odpowiedzieć przed przystąpieniem do ustalania reguł określających działanie modułu inspekcyjnego FireWall-1. Zapis kolejnych reguł odbywa się w analogiczny sposób jak wprowadzanie wierszy do tabeli relacyjnej bazy danych. Pierwsze trzy kolumny tej tabeli identyfikują pakiety, które zostaną poddane inspekcji: Source - miejsce pochodzenia pakietów (kto jest klientem usługi), Destination - miejsce przeznaczenia pakietów (kto jest serwerem), VPN tunele VPN, Services aplikacje i protokoły (usługa sieciowa). Następne dwie kolumny decydują o reakcji systemu zaporowego w przypadku wykrycia pakietów, które spełniają wcześniej określone warunki: Action - akcja podejmowana względem pakietów (np. odrzucenie, akceptacja, zaszyfrowanie) Track - sposób powiadomienia administratora (podniesienie alarmu, zapis informacji o fakcie wystąpienia zdarzenia), Install On dla których modułów obowiązuje reguła, Time w jakim czasie obowiązuje reguła CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 5

6 Uwierzytelnianie użytkowników Polityka bezpieczeństwa FireWall-1 operuje na adresach IP, protokołach (IP, TCP, UDP, RPC, ICMP) i użytkownikach. Istnieją trzy podstawowe metody uwierzytelniania tożsamości użytkowników, stosowane w zależności od potrzeb i specyfiki chronionego systemu: User Authentication przezroczyste uwierzytelnianie użytkowników usług opartych na protokołach HTTP, FTP, Telnet i Rlogin. Przezroczyste oznacza, że użytkownik łączy się bezpośrednio z serwerem usługi i w trakcie nawiązywania połączenia jest poddawany przez Firewall kontroli tożsamości. Uwierzytelniana jest każda sesja usługi. Client Authentication uwierzytelnianie użytkowników dowolnych usług TCP/IP, wymagające nawiązania połączenia z FireWall-1. Uwierzytelniany jest adres IP stacji użytkownika na ustalony czas (tzn. po kontroli tożsamości użytkownika z określonego adresu IP można pracować przez określony czas). Session Authentication uwierzytelnianie użytkowników poprzez zainstalowanego na stacji użytkownika agenta Session Authentication Agent (tzn. w momencie gdy użytkownik próbuje nawiązać połączenie z serwerem usługi, agent Session Authentication Agent wyświetla swoje okno i prosi o podanie identyfikatora i hasła). Dodatkowo w systemie zabezpieczeń Check Point NGX dostępne są rozszerzone metody uwierzytelniania: User Authentication Non-Transparent, Client Authentication Partially Automatic, Client Authentication Automatic, Client Authentication Single Sing-On, Implicit Client Authentication oraz Client Encrypt CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 6

7 Inspekcja i ochrona aplikacji sieciowych Konfiguracja kontroli aplikacji HTTP, FTP i SMTP przez FireWall-1 (m.in. kontrola poprawności poleceń i formatu danych, kontrola antywirusowa, blokowanie załączników) odbywa się poprzez definiowanie obiektów Resource i wprowadzenie ich w polityce bezpieczeństwa. Definiowanie zasobów sieciowych ma na celu określenie tych zasobów, których wykorzystywanie będzie wnikliwie kontrolowane przez system zaporowy. Można dokonać specyfikacji zasobów typu: URI 3 (do kontroli WWW, FTP i innych serwisów), FTP (do kontroli FTP), SMTP (do kontroli poczty elektronicznej), CIFS 4 (do kontroli protokołów NetBIOS i Microsoft-DS). 3 URI (Uniform Resource Identifier) to jednolity identyfikator zasobu w środowisku sieciowym. 4 CIFS - Common Internet File System, protokół dostępu do zasobów (np. plików, usług drukowania) w sieciach Microsoft Windows CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 7

8 Ochrona poczty elektronicznej W przypadku zastosowania zabezpieczeń Check Point FireWall-1 i odpowiedniej ich konfiguracji problem bezpośrednich ataków na serwery poczty praktycznie nie istnieje. Nie ma bowiem bezpośredniego dostępu do serwerów poczty z Internetu. Zablokowanie FireWall-1 jest znacznie trudniejsze od zablokowania serwera poczty, ponieważ jako system zabezpieczeń Firewall poddaje kontroli pakiety już do 3 warstwy modelu OSI (m.in. datagramy IP poddane fragmentacji są scalane i analizowane, sprawdzana jest poprawność poleceń SMTP oraz format danych aplikacyjnych). Wszystkie połączenia SMTP z Internetu są odbierane przez SMTP Security Server, zawartość przesyłek jest poddawana kontroli, a następnie są one zapisywane na dysku maszyny Firewall. Inny proces FireWall-1 odpowiada za odczytanie przesyłek z dysku i przesłanie ich do odpowiedniego serwera w sieci prywatnej. Serwery poczty instytucji nie powinny być w ogóle osiągalne z Internetu (tzn. nie powinno być technicznych możliwości nawiązania z nimi bezpośredniego połączenia nawet w razie wyłączania zabezpieczeń Firewall) CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 8

9 Translacja adresów i portów NAT/PAT FireWall-1 umożliwia wykonywanie translacji adresów NAT w trybie statycznym oraz dynamicznym (ukrywanie sieci). Translacja może być konfigurowana za pomocą graficznego edytora reguł NAT (patrz rysunek) lub automatycznie na podstawie włączonej opcji NAT w definicji obiektów sieciowych. System zabezpieczeń Check Point NGX umożliwia także przekierowywanie ruchu aplikacyjnego bez translacji, np. połączeń HTTP do Web Proxy CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 9

10 Obsługa zdarzeń Przeglądanie i wyszukiwanie zapisów w logu FireWall-1 może być realizowane za pomocą narzędzi SmartView Tracker w następującym zakresie: Log wykaz zdarzeń zarejestrowanych przez moduł FireWall-1, 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 10

11 Active wykaz aktualnie otwartych połączeń sieciowych, które przechodzą przez maszynę FireWall-1 gateway, Audit rejestr pracy administratorów FireWall-1 (m.in. rozpoczęcie i zakończenie pracy, tworzenie, edytowanie i usuwanie obiektów oraz modyfikowanie reguł polityki bezpieczeństwa) CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 11

12 Monitorowanie zajętości pasma Użytkownicy Internetu korzystając z popularnych aplikacji (np. WWW, FTP) i dokonując dużych transferów danych mogą zakłócać pracę innych aplikacji. Administratorzy systemu zabezpieczeń Check Point NGX mają możliwość wyśledzenia takich sytuacji i im przeciwdziałania (tzn. zdefiniowania polityki zarządzania pasmem) CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 12

13 Zarządzanie pasmem sieci Polityka zarządzania przepływem danych w sieci zdefiniowana za pomocą FloodGate-1 składa się z hierarchicznego zbioru reguł. Każda reguła może obejmować następujące ustalenia: dane identyfikujące połączenia sieciowe: - rodzaj usługi (protokół, URL, itp.), - klient i serwer usługi (komputery, sieci, domeny), - kierunek przepływu danych, sposób przydziału pasma sieci dla połączeń: - waga połączenia (rozmiar pasma sieci przydzielony dla określonego połączenia zmienia się dynamicznie w zależności od wartości wag wszystkich aktualnie otwartych połączeń), - gwarantowany rozmiar pasma sieci, - limit przydziału pasma sieci, - inne ustalenia. Dodatkowo, przy przydzielaniu pasma sieci FloodGate-1 może uwzględnić rodzaj komunikacji HTTP (np. w inny sposób mogą być traktowane zwykłe strony HTML, a inaczej pliki graficzne) CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 13

14 waga reguły rozmiar pasma gwarantowany dla indywidualnego połączenia liczba połączeń, dla których pasmo będzie zagwarantowane czy akceptować połączenia, dla których nie można już zagwarantować pasma całkowity rozmiar pasma gwarantowany dla wszystkich połączeń limit przydziału pasma dla indywidualnego połączenia limit przydziału pasma dla wszystkich połączeń 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 14

15 Wbudowany urząd certyfikacji ICA Check Point NGX posiada wbudowany urząd certyfikacji Internal CA (ICA). Urząd wystawia certyfikaty cyfrowe X.509v3 do zabezpieczenia komunikacji sieciowej pomiędzy modułami zabezpieczeń Check Point oraz certyfikatów dla klientów i urządzeń VPN CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 15

16 Konfiguracja polityki Desktop Security System zabezpieczeń Check Point NGX umożliwia centralne zarządzanie zabezpieczeń Personal Firewall na stacjach użytkowników. W przypadku stosowania restrykcyjnej polityki bezpieczeństwa SecureClient zalecane jest przygotowanie odpowiednio dostrojonego i skonfigurowanego pakietu SecureClient za pomocą SecureClient Packaging Tool CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 16

17 Monitorowanie działania zabezpieczeń Monitorowanie bieżącego stanu systemu jest wykonywane za pomocą SmartView Monitor, który pokazuje stan wszystkich komponentów systemu zaporowego. Dla każdego obiektu (gateway, host, ruter, switch), na którym funkcjonuje moduł inspekcyjny FireWall-1, wyświetlany jest jego aktualny status, m.in.: data i czas instalacji polityki bezpieczeństwa, liczba pakietów odrzuconych, liczba pakietów poddanych inspekcji, liczba pakietów zarejestrowanych w logu. SmartView Monitor umożliwia także szczegółowe monitorowanie stanu platformy systemowej modułów VPN-1/FireWall-1 oraz innych producentów (OPSEC) CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 17