Szanowni Czytelnicy, W bieżącym wydaniu... Web Application Firewall jako metoda ochrony i ubezpieczenie inwestycji biznesowych

Transkrypt

1 Szanowni Czytelnicy, Polecamy lekturze nasz Biuletyn Zabezpieczeń IT. W tym numerze piszemy o stosunkowo nowych rozwiązaniach w ofercie Clico: propozycjach firmy Imperva i Tufin i nieco dokładniej przyglądamy się systemowi zarządzania bezpieczeństwem STRM Juniper Networks. Jak zawsze dołączamy kilka newsów, zaproszeń oraz sprawozdań z konferencji. Życzymy miłej lektury, Redakcja W bieżącym wydaniu... Web Application Firewall jako metoda ochrony i ubezpieczenie inwestycji biznesowych Działalność biznesowa firm intensywnie rozwijana jest w oparciu o aplikacje Web, szczególnie w zakresie kooperacji z Partnerami i Klientami. Jeden standard dostępu do usług informatycznych (Web) zapewnia swobodę w korzystaniu i wymianie informacji. Otwartość systemów informatycznych stwarza jednak nowe niebezpieczeństwa i potrzebę zastosowania adekwatnych do istniejących zagrożeń środków bezpieczeństwa. (więcej na stronie 2) Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa Juniper Security Threat Response Manager (STRM) Działalność firm jest coraz mocniej uzależniona od systemów informatycznych. Efektywne zarządzanie ich bezpieczeństwem w skali całego przedsiębiorstwa staje się dużym wyzwaniem. Podstawowe wymagania stawiane systemom zarządzania bezpieczeństwem są następujące: w jednym miejscu obsługa incydentów bezpieczeństwa dla całego obszaru systemu informatycznego, zarządzanie i analiza wielu milionów rejestrowanych zdarzeń bez ponoszenia dużych nakładach pracy, precyzyjne monitorowanie stanu i efektywności pracy środowiska sieciowego (m.in. przeciążeń, awarii, ataków D/DoS i 0-day), spełnienie wymagań prawnych, standardów bezpieczeństwa i innych regulacji (PCI, SOX, ISO-27001, Basel II, itd.). Rozwiązaniem spełniającym powyższe wymagania są systemy klasy Security Information and Events Management (SIEM) oraz Network Behavior Anomaly Detection (NBAD). (więcej na stronie 4) Firewall Operations Management nowa kategoria systemów wspomagających zarządzanie bezpieczeństwem Z myślą o problemach wynikających w momencie wprowadzania przez administratorów zmian w konfiguracjach firewall została opracowana kategoria systemów wspomagających ich w zarządzaniu bezpieczeństwem Firewall Operations Management. Jednym z najbardziej zaawansowanych rozwiązań tej kategorii jest SecureTrack izraelskiej firmy Tufin Technologies. (więcej na stronie 9) Nowe szkolenia w ofercie Centrum Szkoleniowego Clico Centrum Szkoleniowe Clico Sp. z o.o. wkroczyło w rok 2008 z ofertą nowych szkoleń firm Check Point Software Ltd. i SafeBoot oraz wprowadziliśmy również trzy własne szkolenia o technologiach telefonii internetowej VoIP. (więcej na stronie 11) Konferencje, targi, seminaria (więcej na str. 12) 1

2 dr inż. Mariusz Stawowski Web Application Firewall jako metoda ochrony i ubezpieczenie inwestycji biznesowych Działalność biznesowa firm intensywnie rozwijana jest w oparciu o aplikacje Web, szczególnie w zakresie kooperacji z Partnerami i Klientami. Jeden standard dostępu do usług informatycznych (Web) zapewnia swobodę w korzystaniu i wymianie informacji. Otwartość systemów informatycznych stwarza jednak nowe niebezpieczeństwa i potrzebę zastosowania adekwatnych do istniejących zagrożeń środków bezpieczeństwa. Twórcy aplikacji Web (e-portal, e-commerce, itd.) stosują wiele dynamicznie rozwijanych technologii i środowisk developerskich, jak AJAX, XML, SOAP, ASP,.NET, PHP, itp. Wraz z rozwojem tej klasy aplikacji pojawiły się dla nich nowe, specyficzne zagrożenia. Konwencjonalne zabezpieczenia sieciowe firewall, IPS i AV umożliwiają poprawne blokowanie typowych ataków sieciowych (exploit, DoS) oraz złośliwego kodu. Zabezpieczenia te mają bardzo ograniczone możliwości w zakresie blokowania ataków wykorzystujących błędy logiczne aplikacji Web i bazy danych, m.in.: manipulowanie i zmiany wartości parametrów aplikacji (URL, formatki), Fuzzing (zalewanie aplikacji losowo wybranymi wartościami), SQL-injection, CLI-injection, LDAP-injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF). Obecnie poważne błędy bezpieczeństwa aplikacji Web są wykrywane nawet w dużych i popularnych serwisach bankowości internetowej i handlu elektronicznego. Informacje na ten temat są często dostępne publicznie (m.in. Hacking.IP). Wymagane jest zastosowanie nowej generacji rozwiązania ochrony Web Application Firewall (WAF), które w odróżnieniu od konwencjonalnych zabezpieczeń sieci umożliwiają skuteczną ochronę aplikacji Web przed istniejącymi zagrożeniami. Zabezpieczenia WAF stanowią efektywną ochronę nawet w sytuacji, gdy w trakcie rozwoju aplikacji Web zostaną wprowadzone w niej luki bezpieczeństwa. Zastosowanie WAF w dużym zakresie pomaga firmom w osiągnięciu wymagań standardów bezpieczeństwa (PCI, SOX, ISO-27001, Basel II, itd.). W przypadku standardu PCI wdrożenie zabezpieczeń WAF zwalnia firmy z obowiązku dokonywania kosztownych audytów kodu źródłowego po każdej zmianie aplikacji Web (PCI 6.6). Jednym za najbardziej zaawansowanych na rynku rozwiązań zabezpieczeń w kategorii WAF jest IMPE- RVA 1 SecureSphere. W skład pakietu SecureSphere wchodzą następujące rozwiązania: Web Application Firewall (WAF) aplikacyjny firewall Web, Database Security Gateway (DSG) firewall aplikacyjny baz danych z narzędziami audytu, Database Monitoring Gateway (DMG) system monitorowania i audytu baz danych. Rysunek 1. Konsola zarządzania systemu zabezpieczeń IMPERVA SecureSphere System zabezpieczeń IMPERVA SecureSphere realizuje funkcje aplikacyjnego firewalla Web (WAF), aplikacyjnego firewalla bazy danych oraz posiada wbudowane zabezpieczenia konwencjonalnej, pełno-stanowej zapory sieciowej Firewall (Stateful Inspection) oraz sieciowego systemu ochrony przed intruzami (Intrusion Prevention System, IPS). System posiada typową, trójwarstwową architekturę złożoną z urządzeń zabezpieczeń SecureSphere Gateway, serwera zarządzania MX Management Server oraz graficznych konsol zarządzania dostępnych poprzez interfejs Web (patrz rysunek 1). Wykaz podstawowych funkcji ochrony aplikacji Web i baz danych został przedstawiony w poniższej tabeli. 2

3 Biuletyn IT Funkcje ochrony aplikacji Web Automatyczne tworzenie i aktualizowanie profili aplikacji Web oraz wykrywanie naruszeń bezpieczeństwa. Weryfikacja zgodności komunikacji sieciowej ze standardem protokołu HTTP. Wykrywanie nieznanych robaków sieciowych atakujących serwery Web poprzez techniki heurystyczne. Wykrywanie skomplikowanych ataków poprzez mechanizm korelacji wielu zdarzeń. Zasady kontroli komunikacji sieciowej przez system zabezpieczeń IMPERVA SecureSphere przedstawia rysunek 2. Komunikacja sieciowa poddawana jest analizie negatywnej (tzw. black-list) jak reguły firewall i sygnatury IPS oraz analizie pozytywnej (tzw. white-list) jak wykrywanie naruszeń standardów protokołów oraz profili aplikacji. Funkcje ochrony aplikacji baz danych Automatyczne tworzenie i aktualizowanie profili aplikacji SQL oraz wykrywanie naruszeń bezpieczeństwa. Weryfikacja zgodności komunikacji sieciowej ze standardami protokołu SQL. Wykrywanie skomplikowanych ataków poprzez mechanizm korelacji wielu zdarzeń. Skaner bezpieczeństwa wykrywający błędy zabezpieczeń baz danych. Narzędzia audytowania aplikacji baz danych (m.in. w zakresie zgodności ze standardami PCI, SOX). może odbywać się na urządzeniach SecureSphere lub na dedykowanych sprzętowych modułach kryptograficznych ncipher lub SafeNet. Zasady typowego wdrożenia zabezpieczeń przedstawia rysunek 3. Rysunek 3. Koncepcja wdrożenia zabezpieczeń IMPERVA SecureSphere Rysunek 2. Zasady kontroli komunikacji sieciowej w IM- PERVA SecureSphere System zabezpieczeń IMPERVA może poddawać kontroli zwykłą komunikację TCP/IP oraz zaszyfrowane połączenia HTTPS (SSL/TLS) do serwerów Web i baz danych. Kontrola zaszyfrowanej komunikacji HTTPS nie powoduje widocznej degradacji wydajności urządzeń SecureSphere Gateway, ponieważ urządzenia nie terminują sesji SSL, a jedynie deszyfrują i sprawdzają ich zawartość. Składowanie materiału kryptograficznego i deszyfrowanie sesji Podstawowa ochrona WAF bazuje na budowanych dla aplikacji Web profilach. Profile zawierają m.in. opis struktury, folderów, URL i parametrów. Zabezpieczenia WAF analizują i poddają walidacji dane wprowadzane do aplikacji Web. Nawet w przypadku wystąpienia błędów w aplikacji są w stanie zablokować próby ich nielegalnego wykorzystania. IM- PERVA łączy przy tym wiele mechanizmów ochrony. Dla przykładu, skuteczne zabezpieczenie przed atakami SQL Injection (wprowadzaniu poleceń SQL do bazy danych przez interfejs Web) i wyeliminowanie fałszywych alarmów jest możliwe dzięki 3

4 połączeniu technik detekcji opartych na profilach i sygnaturach. Konwencjonalne zabezpieczenia IPS są w stanie wykrywać proste ataki SQL Injection za pomocą sygnatur. Generują jednak przy tym dużą liczbę fałszywych alarmów (tzw. false positive) dla komunikacji, gdzie aplikacja Web przysyła legalne zapytania SQL do bazy danych. Połączenie w IMPERVA technik detekcji przez sygnatury i naruszenia profili (np. wprowadzanie danych innego typu i rozmiaru) umożliwia skuteczne wykrywania ataków i wyeliminowanie fałszywych alarmów. Profile aplikacji są automatycznie aktualizowane system zabezpieczeń potrafi rozróżnić atak od sytuacji, gdzie aplikacja została zmodyfikowana przez deweloperów. Rysunek 4. Reguły chronionej aplikacji Web poprzez wykrywanie anomalii profili Zastosowane zabezpieczeń IMPERVA Secure- Sphere do ochrony aplikacji Web i baz danych posiadają możliwość śledzenia i monitorowania transakcji SQL dokonywanych przez użytkowników aplikacji Web bez konieczności przebudowy kodu aplikacji. Mechanizm Univeral User Tracking umożliwia transparentne skorelowanie nazw użytkowników zalogowanych w aplikacji Web z dokonywanymi przez tę aplikację transakcjami w bazie danych. Dzięki temu ww. nadużycia bezpieczeństwa dokonane w bazie danych zostaną przypisane do określonego użytkownika aplikacji. Rysunek 5. Koncepcja mechanizmu Univeral User Tracking Nowe technologie Web umożliwiają firmom obniżenie kosztów rozwoju i utrzymania systemów informatycznych, m.in. niskie koszty utrzymania aplikacji po stronie użytkowników, dostęp do usług i informacji odbywa się przez standardowy interfejs Web, łatwość modyfikacji i rozbudowy aplikacji, itd. Aplikacje Web nie mogą jednak zagrażać poufności danych firmy, ani też umożliwiać naruszenie bezpieczeństwa i narażenie reputacji firmy i zaufania Klientów i Partnerów. Wymagana jest odpowiednia ochrona tych aplikacji Web Application Firewall. Bezpieczne aplikacje Web zapewniają firmom dobre warunki dla działalności biznesowej firmy przy jednoczesnym obniżeniu kosztów utrzymania systemów informatycznych. Wdrożenie aplikacji Web wraz z kompletnymi środkami bezpieczeństwa jest przedsięwzięciem perspektywicznym, posiadającym mocne uzasadnienie biznesowe. 1 Współzałożyciel firmy IMPERVA Shlomo Kramer (wcześniej współzałożyciel Check Point Technologies) został uznany przez Network World za jednego z 20 ludzi, którzy zmienili przemysł sieciowy na świecie. dr inż. Mariusz Stawowski Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa Juniper Security Threat Response Manager (STRM) Działalność firm jest coraz mocniej uzależniona od systemów informatycznych. Efektywne zarządzanie ich bezpieczeństwem w skali całego przedsiębiorstwa staje się dużym wyzwaniem. Podstawowe wymagania stawiane systemom zarządzania bezpieczeństwem są następujące: w jednym miejscu obsługa incydentów bezpieczeństwa dla całego obszaru systemu informatycznego, zarządzanie i analiza wielu milionów rejestrowanych zdarzeń bez ponoszenia dużych nakładów pracy, 4

5 Biuletyn IT precyzyjne monitorowanie stanu i efektywności pracy środowiska sieciowego (m.in. przeciążeń, awarii, ataków D/DoS i 0-day), spełnienie wymagań prawnych, standardów bezpieczeństwa i innych regulacji (PCI, SOX, ISO-27001, Basel II, itd.). Rozwiązaniem spełniającym powyższe wymagania są systemy klasy Security Information and Events Management (SIEM) oraz Network Behavior Anomaly Detection (NBAD). Systemy SIEM pobierają logi z wielu różnych elementów systemu informatycznego, poddają je korelacji i na tej podstawie przedstawiają administratorom wiarygodne informacje na temat stanu bezpieczeństwa i wykrytych incydentów. Logi z systemu informatycznego nie pokazują jednak pełnego obrazu bezpieczeństwa. Podstawą prawidłowego funkcjonowania systemów informatycznych jest sieć. Od systemu zarządzania bezpieczeństwem wymagane jest precyzyjne monitorowanie stanu i efektywności pracy środowiska sieciowego. Takie zadania spełnia NBAD, który na podstawie statystyk i opisu ruchu (np. NetFlow) pobieranych bezpośrednio z urządzeń sieciowych (ruterów, przełączników) dokonuje analizy stanu i efektywności pracy sieci, w tym wykrywania sytuacji nieprawidłowych (anomalii). Utrzymywanie dwóch systemów zarządzania SIEM i NBAD zwiększa nakłady administracyjne i koszty utrzymania zabezpieczeń. Uzasadnione jest stosowanie rozwiązań zintegrowanych. Juniper Security Threat Response Manager (STRM) to scentralizowany system zarządzania bezpieczeństwem realizujący funkcje SIEM i NBAD oraz utrzymujący centralne repozytorium logów. Juniper STRM obsługuje incydenty bezpieczeństwa na podstawie następujących źródeł informacji: zdarzenia i logi z systemów zabezpieczeń (firewall, VPN, IPS, AV, itd.), systemów operacyjnych (Unix, Windows, itd.) oraz aplikacji i baz danych, statystyki i opis ruchu sieciowego odbierane z urządzeń za pomocą NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywane bezpośrednio z sieci (span port), informacje na temat stanu systemów i ich słabości bezpieczeństwa odczytywane za pomocą Juniper IDP Profiler oraz skanerów Nessus, NMAP, ncircle, Qualys, Foundstone, itd. Zdarzenia i logi pobierane są przez STRM za pomocą różnych metod, m.in. Syslog standardowy format logów (TCP, UDP), SNMP wiadomości o zdarzeniach (SNMP Trap, v3), Windows Agent zdarzenia z systemów MS Windows, JuniperNSM integracja z systemem zarządzania Juniper NSM, JDBC:SiteProtector integracja z IBM SiteProtector, Log Export API (LEA) integracja z systemem zarządzania Check Point, Security Device Event Exchange (SDEE) protokół używany w urządzeniach Cisco, oparty na SOAP, a także Java Database Connectivity API (JDBC) zdalny dostęp do baz danych. System zarządzania Juniper STRM dostarczany jest w formie gotowych do użycia urządzeń Appliance o różnej wydajności i przestrzeni dyskowej STRM 500, STRM 2500 i STRM Urządzenia działają na bazie odpowiednio utwardzonego systemu operacyjnego klasy Linux (CentOS), umożliwiającego łatwą integracje z zewnętrznymi repozytoriami danych (m.in. iscsi SAN i NAS). Rysunek 1. Modele urządzeń Juniper STRM Skuteczna obsługa incydentów koncentruje się na identyfikacji ich sprawców (użytkowników, hackerów, złośliwego kodu). W systemie STRM jest utrzymywana i na bieżąco aktualizowana baza Asset Profile, która umożliwia przeszukiwanie zgromadzonych informacji o zasobach systemów informatycznych zgodnie z wieloma kryteriami. Zdarzenia analizowane przez STRM są powiązane z nazwami użytkowników, nazwami komputerów oraz adresami IP/MAC. Wiarygodność incydentów jest ustalana na podstawie wielu źródeł logów różnych systemów, ruchu w sieci oraz skanerów zabezpieczeń, itd. Administratorzy bezpieczeństwa korzystają z STRM za pomocą dedykowanych, graficznych narzędzi uruchamianych z wykorzystaniem standardowej przeglądarki Web. Nie ma potrzeby instalowania do tego celu dodatkowych aplikacji. Dane określające tożsamość użytkowników mogą zostać ustalone na podstawie wielu różnych systemów, m.in. Juniper Steel Belted Radius, Juniper Infranet Controller, Cisco Secure Access Control Server, Linux Authentication Server, ArrayNetworks ArrayVPN, Check Point SmartCenter/Provider-1, 5

6 Cisco VpnConcentrator, F5 BigIP, Juniper NetScreen/SSG, Juniper SA, itd. Rysunek 2. Konsola zarządzania Juniper STRM Dla administratorów dokonujących obsługi incydentów bezpieczeństwa, przy dużej liczbie generowanych alarmów istotne jest szybkie identyfikowanie najważniejszych zdarzeń. W STRM obowiązują zasady zaczerpnięte z systemu logiki sądowej Judicial System Logic (JSL). Dla każdego zidentyfikowanego incydentu prezentowana jest jego ważność (Magnitude) ustalana na podstawie trzech kryteriów: 1. Wiarygodność (Credibility): Jak wiarygodny jest dowód? Jeżeli wielu świadków (źródeł danych) potwierdzi zdarzenie to jego wiarygodność jest wyższa. 2. Istotność (Relevance): Ważność zdarzenia (incydentu) zależy od obszaru, gdzie wystąpiło oraz zasobów, których dotyczyło. 3. Surowość (Severity): Wielkość zagrożenia zależy m.in. od podatności zasobów na ataki, wartości zasobów, rodzaju ataku, liczby zaatakowanych zasobów. Zawarty w Juniper STRM moduł NBAD wykrywa anomalie w systemie informatycznym za pomocą analizy behawioralnej. Na bieżąco budowane są profile normalnego stanu i zachowania sieci oraz identyfikowane odchylenia, m.in. zmiany stanu, nagłe zwiększenia lub zmniejszenia natężenia ruchu i przekroczenie wartości progowych. Funkcje NBAD umożliwiają wykrywanie nowych obiektów w systemie informatycznym (hostów, aplikacji, protokołów, itd.) i dzięki temu identyfikowanie zagrożeń i incydentów, m.in. trojanów nawiązujących połączenia zwrotne z intruzami, wirusów propagujących się przez oraz serwisów nielegalnie uruchomionych w sieci. Rysunek 3. Architektura systemu zarządzania STRM Analiza stanu i zachowania sieci umożliwia także wykrywanie wielu innych niedozwolonych działań jak np. serwerów Web działających jako Proxy, a także partnerów i klientów nadużywających uprawnień (dostęp do obszaru, z którego nie powinni korzystać). Rysunek 4. Przykład działania NBAD Zawarte w Juniper STRM fukncje NBAD zwiększają możliwości i podwyższają wiarygodność identyfikowanych incydentów bezpieczeństwa SIEM. W tym zakresie można przedstawić wiele przykładów, m.in.: analiza ruchu NBAD wykazała, że zaatakowany system tuż po ataku przesłał odpowiedź do sieci zewnętrznej z dużym prawdopodobieństwem wystąpiło włamanie, analiza ruchu NBAD wykazała, że system komunikuje się z serwerem IRC w Internecie, co może wskazywać, że intruz zainstalował w tym systemie IRC Bot, 6

7 Biuletyn IT analiza ruchu NBAD wykazała, że serwis, który został zaatakowany z dużym prawdopodobieństwem został zablokowany, ponieważ po ataku nie wykazuje aktywności. Moduł NBAD może zostać także użyty do wykrywania awarii ważnych biznesowo systemów, które powinny być dostępne 24/7, m.in.: zablokowanych/ uszkodzonych serwerów i aplikacji, niewykonania operacji backup, urządzeń blokujących ruch. Rysunek 5. Przykładowa rozproszona struktura STRM System zarządzania Juniper STRM może zostać wdrożony w architekturze scentralizowanej (wszystkie funkcje na jednym Appliance) oraz rozproszonej, złożonej z wielu urządzeń. Struktura rozproszona STRM budowana jest w celu zwiększenia wydajności systemu. Także w przypadku rozproszonej struktury STRM zarządzanie całości systemu odbywa się z jednej konsoli. Role i uprawnienia administratorów STRM mogą zostać dostosowane do potrzeb organizacji. Istnieje możliwość ograniczenia poszczególnym administratorom dostępu do ustalonego obszaru systemu informatycznego oraz limitowania operacji w systemie zarządzania STRM. Tożsamość administratorów STRM może być weryfikowana poprzez lokalne konto oraz zewnętrzne systemy uwierzytelniania (m.in. RADIUS, TACACS, LDAP/Active Directory). Do celów zarządzania zdarzeń (Log Management) w STRM utrzymywane jest centralne repozytorium logów. Logi mogą być przeglądane w formie rzeczywistej (raw) lub znormalizowanej. Starsze logi poddawane są kompresji. Informacje składowane w STRM są zabezpieczone kryptograficznie za pomocą sum kontrolnych (także za pomocą silnej funkcji SHA-2). STRM oferuje wiele typów raportów tworzonych zgodnie z kryteriami ustalonymi przez administratorów oraz raportów predefiniowanych (ponad 200), w tym na zgodność ze standardami (m.in. PCI, SOX, FISMA, GLBA, HIPAA). Do dyspozycji administratorów STRM dostępny jest intuicyjny kreator raportów. Raporty mogę być tworzone w wielu formatach (m.in. PDF, HTML, RTF, CVS, XML). Juniper Day maja br. odbyła się V edycja Juniper Day. Co roku przybywa chętnych osób do udziału w tej konferencji, niemniej jednak frekwencja tegoroczna pozytywnie zaskoczyła nas wszystkich. Mieliśmy przyjemność gościć 470 uczestników, tym samym sala w Silver Screen była wypełniona po brzegi. Tak liczne grono uczestników powitali przedstawiciele Juniper Networks: Pim Versteeg, Vice President Emerging Markets i Piotr Czechowicz, Regional Manager CEE&Balans. Potem przez pięć kolejnych godzin uczestnicy konferencji zapoznawali się z no- Pim Versteeg, Juniper Networks, Vice President EM wykład inauguracyjny 7

8 wościami w ofercie Juniper Networks prezentowanymi przez inżynierów z Juniper Networks i Clico. Juniper Day 2008 zamknął pokaz filmu Indiana Jones i Królestwo Kryształowej Czaszki. Zapraszamy do zapoznania się z prezentacjami z konferencji, które dostępne są tutaj: clico.pl/hardware/netscreen/html/prezentacje_ 2008.html Wszystkim uczestnikom dziękujemy za tak liczne przybycie. Oczekujemy Państwa na kolejnej edycji konferencji za rok. Rejestracja trwała... i trwała Ingrid Hagen, Juniper Networks Sala była pełna Prezentacja Emila Gągały, Juniper Networks Wykład Mariusza Stawowskiego (CLICO) Szczęśliwi zwycięzcy 8

9 Biuletyn IT dr inż. Mariusz Stawowski Firewall Operations Management nowa kategoria systemów wspomagających zarządzanie bezpieczeństwem Zapory sieciowe firewall są kluczowym elementem bezpieczeństwa systemów informatycznych. Za ich pomocą budowana jest właściwa architektura zabezpieczeń sieci, strefy bezpieczeństwa i wymuszane polityki bezpieczeństwa 1. Obecnie zabezpieczenia firewall posiadają wiele skomplikowanych reguł. W średnich i dużych firmach zmiany konfiguracji zabezpieczeń sieci wprowadzane są każdego dnia przez różnych administratorów. Błędy w konfiguracji mogą spowodować utratę ciągłości działania biznesu oraz doprowadzić do naruszeń bezpieczeństwa zasobów informatycznych. Trudnym zadaniem dla administratorów zabezpieczeń firewall jest zapewnienie, aby wprowadzane przez nich zmiany konfiguracji były rzeczywiście uzasadnione, poprawne i nie doprowadziły do naruszeń bezpieczeństwa. Do typowych problemów, na jakie napotykają administratorzy firewall można zaliczyć: Rozmiar polityk zwiększa się w szybkim tempie (często kilkaset reguł i tysiące obiektów) i w konsekwencji administratorzy tracą kontrolę nad konfiguracją zabezpieczeń. Administratorzy nie są pewni, jaką rolę spełniają określone ustawienia i jakie dokładnie efekty odniosą wprowadzane zmiany konfiguracji. Błędy w polityce firewall otwierają możliwości naruszeń bezpieczeństwa (np. pomyłkowe zezwolenie dostępu do serwerów produkcyjnych z obszarów mało zaufanych jak Internetu otwiera możliwość ich zaatakowania; bez właściwej kontroli dostępu pracownicy firmy nie stosują się do regulaminów i nadużywają uprawnień w systemie informatycznym). W konfiguracji firewall występuje nadmierna liczba reguł polityki bezpieczeństwa i obiektów konfiguracyjnych (występują elementy niepotrzebne). Reguły nie są ustawione we właściwej kolejności. W konsekwencji funkcjonowanie zabezpieczeń jest mało wydajne. Z myślą o tych problemach została opracowana kategoria systemów wspomagających administratorów firewall w zarządzaniu bezpieczeństwem Firewall Operations Management. Jednym z najbardziej zaawansowanych rozwiązań tej kategorii jest Secure- Track izraelskiej firmy Tufin Technologies. System SecureTrack monitoruje konfigurację i działanie firewalli (m.in. Check Point VPN-1, Juniper SSG/ NetScreen, Cisco) i na bieżąco przedstawia administratorom wskazówki w zakresie wzmocnienia bezpieczeństwa i optymalizacji pracy zabezpieczeń. Rysunek 1 przedstawia podstawowe zasady działania SecureTrack i metody współdziałania z systemami firewall różnych producentów. Poniżej zostały scharakteryzowane techniczne własności tego rozwiązania oraz korzyści z jego użytkowania. Rysunek 1. Zasady działania Tufin SecureTrack Optymalizacja i porządkowanie polityki zabezpieczeń Analizując oraz porządkując zestaw zdefiniowanych na firewallu reguł SecureTrack eliminuje potencjalne przypadki naruszenia bezpieczeństwa, zwiększając jednocześnie wydajność zapory sieciowej. Umożliwia administratorom tworzenie zestawu reguł według priorytetu ich wykorzystania (patrz rysunek 2). Dzięki temu reguły częściej używane mogą zostać przesunięte na początek polityki. Dedykowany algorytm identyfikuje niewykorzystane zestawy reguł odnoszących się do poszczególnych obiektów, które mogą zostać usunięte. Wskazanie zbędnych/ niewykorzystywanych reguł kwalifikujących się do usunięcia eliminuje potencjalne luki w regułach firewalla oraz podwyższa jego wydajność (zmniejsza rozmiar drzewa decyzyjnego jakie firewall musi dla ruchu sieciowego analizować). SecureTrack ocenia także poprawność polityki względem tzw. Firewall Configuration Best Practice, m.in. analizuje Implied Rules, Clean-up Rule, włączenie Anti-Spoofing, utrzymanie konwencji nazewnictwa obiektów, itd. 9

10 polityk w czasie. Jest to przydatne w wyjaśnianiu nieprawidłowości i błędów konfiguracji zabezpieczeń. Umożliwia także precyzyjne rozliczenie zmian dokonanych przez administratorów. Rysunek 2. Wytyczne do optymalizacji i wzmocnienia szczelności zabezpieczeń Audytowanie zmian w zarządzaniu zabezpieczeń SecureTrack monitoruje przeprowadzone zmiany, raportuje je w czasie rzeczywistym oraz zachowuje wyczerpujące informacje audytowe, umożliwiając w ten sposób rozliczanie oraz egzekwowanie odpowiedzialności. Rysunek 3 przedstawia podstawowe operacje jakie mogą zostać w tym zakresie wykonane. Administrator SecureTrack wybiera wersje polityk firewall, które chce porównać. W odpowiedzi otrzymuje wykaz reguł, które zostały zmodyfikowane, dodane i usunięte. System SecureTrack na bieżąco rejestruje wszystkie zmiany dokonywane w politykach monitorowanych firewalli. Rysunek 3. Porównywanie zawartości różnych wersji polityk firewall W razie potrzeby SecureTrack generuje raporty typu New Revision, które w graficznej formie prezentują zmiany polityki patrz rysunek 4. Raporty te mogą być przesyłane poprzez do wskazanych odbiorów w określonych warunkach (Install Policy, Save Policy, itp.). Administratorzy mogą także w konsoli SecureTrack generować raporty zmian Rysunek 4. Powiadamianie administratorów o wystąpieniu zmian w konfiguracji firewall Do innych zadań, do jakich może zostać wykorzystany system Tufin SecureTrack można zaliczyć: analiza ryzyka oraz zapewnienie ciągłości działania biznesu (mechanizmy symulacji działania polityk zapobiegają przerwom w działaniu serwisów, identyfikują potencjalne zagrożenia, a także zapewniają zgodność ze standardami organizacji), monitoring pracy zapór sieciowych w całej sieci przedsiębiorstwa (śledzenie zmian konfiguracji wielu firewalli różnych producentów), zapewnienie zgodności z normami i standardami (szczegółowe kontrolowanie i rejestrowanie zmian zabezpieczeń zgodnie z wymaganiami standardów, m.in. Sarbanes-Oxley, PCI- -DSS, HIPAA, ISO oraz Basel II). Rozwiązanie SecureTrack dostępne jest w formie oprogramowania instalowanego na systemie operacyjnym RedHat Enterprise Linux 3/4 lub CentOS 3/4, a także gotowych do użycia urządzeń Appliance. Dostęp do konsoli zarządzania odbywa się za pomocą standardowej przeglądarki Web (HTTPS). Dane w formie zaszyfrowanej składowane są w bazie danych /Postgresql/. 1 Więcej informacji na temat zabezpieczeń firewall można znaleźć w literaturze, m.in. książce Zapory sieciowe firewall Projektowanie i praktyczne implementacje zabezpieczeń na bazie Check Point NGX firewall.html 10

11 Biuletyn IT Piotr Misiowiec Nowe szkolenia w ofercie Centrum Szkoleniowego Clico Centrum Szkoleniowe Clico Sp. z o.o. wkroczyło w rok 2008 z ofertą nowych szkoleń firmy Check Point Software Ltd., a mianowicie nową wersją szkoleń ZARZĄDZANIE VPN-1/FIREWALL-1 część I i II dla najświeższej wersji oprogramowania, czyli R65. Do oferty dołożyliśmy trzydniowe seminarium firmy (ISC) 2 pod nazwą: SSCP (SYSTEMS SECU- RITY CERTIFIED PRACTITIONER). Szkolenie to obejmuje naukę poszerzonej wiedzy technicznej o siedmiu dziedzinach bezpieczeństwa informacyjnego, a mianowicie: Kontrola dostępu polityki, standardy i procedury, które definiują, którzy użytkownicy mają dostęp do zasobu i jakiego rodzaju jest ten dostęp oraz jakiego rodzaju operacje mogą oni wykonywać w systemie. Analiza i monitorowanie definiowanie wdrożenia według ustanowionych kryteriów IT. Zbieranie informacji w celu identyfikacji i odpowiedzi na luki bezpieczeństwa oraz na zdarzenia. Kryptografia ochrona informacji poprzez wykorzystanie technik zapewniających poufność, integralność, autentyczność informacji szyfrowanej, a także odzyskiwanie tejże w jej oryginalnej postaci. Kody złośliwe techniki ochrony przed wirusami, robakami, bombami logicznymi, trojanami i innymi formami dostarczania kodów uważanych za niebezpieczne. Sieci i telekomunikacja struktura sieciowa, metody transmisji danych, formaty transportu oraz metody zabezpieczeń stosowane w sieciach publicznych i prywatnych. Ryzyko, reakcja i odzyskiwanie danych przegląd, analiza i wdrożenie procesów odpowiedzialnych za identyfikację, pomiar i kontrolę utraty danych związanej z nieprzewidzianymi zdarzeniami. Administracja zabezpieczeniami identyfikacja zdarzeń informacyjnych, dokumentacja standardów, polityk, procedur i nakazów, które zapewniają poufność, integralność i dostępność danych. Po seminarium można przystąpić do egzaminu, dzięki któremu adepci uzyskują szeroki dostęp do atrakcyjnych ofert pracy w działach IT wielu korporacji. Do naszego zestawu dołączyliśmy również certyfikowane szkolenie firmy SAFEBOOT. Szkolenie SafeBoot zostało zaprojektowane tak, aby jego uczestnicy zdobyli wiedzę i umiejętności przydatne nie tylko przy instalowaniu, konfigurowaniu oraz codziennym użytkowaniu produktów, ale również przy diagnozowaniu i rozwiązywaniu ewentualnych problemów oraz sytuacji krytycznych (Disaster Recovery). Obecnie w ofercie dostępne jest szkolenie: SAFEBOOT CERTIFIED SYSTEM ADMINISTRATORS (SCSA) Zagadnienia omawiane na szkoleniu: Wprowadzenie do SafeBoot Device Encryption Administracja SafeBoot Device Encryption Odzyskiwanie użytkowników i maszyn Rozwiązywanie sytuacji krytycznych Disaster Recovery SafeBoot for Pocket PC Narzędzie SafeBoot Scripting Tool Mechanizm SafeBoot Hot Database Backup Integracja SafeBoot z usługami katalogowymi Wprowadzenie do SafeBoot Content Encryption Administracja SafeBoot Content Encryption Wprowadziliśmy również trzy własne szkolenia o technologiach telefonii internetowej VoIP, a mianowicie: WPROWADZENIE DO TELEFONII VOIP (1 dzień) kurs podstawowy, mający na celu zapoznanie uczestników z wielkimi korzyściami wynikającymi z instalacji telefonii VoIP w przedsiębiorstwie < wprowadzenie_do_telefonii_voip.html> TELEFONIA VOIP PODSTAWOWE SZKO- LENIE TECHNICZNE (3 dni) podstawowy kurs techniczny pozwalający na poznanie instalacji i konfiguracji serwerów, telefonów i bramek VoIP w oparciu o oprogramowanie Trixbox/ Asterisk oraz infrastrukturę sprzętu firmy Linksys < -_podstawowe_szkolenie_te.html> TELEFONIA VOIP ZAAWANSOWANE SZKO- LENIE TECHNICZNE (2 dni) zaawansowane szkolenie, które pozwala dowiedzieć się wielu technicznych szczegółów na temat konfiguracji central VoIP, ze szczególnym uwzględnieniem serwerów faksów, technologii fax2mail, mail2fax, web2fax < Szkolenia VoIP oparte są na bogato wyposażonym laboratorium, gdzie każda zainteresowana te- 11

12 matem osoba może zapoznać się z cechami konfiguracji. W odpowiedzi na wzrastające zainteresowanie tematyką projektowania zaawansowanych systemów zabezpieczeń oraz audytów bezpieczeństwa Centrum kompetencyjne CLICO opracowało z tej tematyki specjalizowane szkolenia eksperckie. Szkolenia przeznaczone są dla specjalistów odpowiedzialnych za projektowanie, wdrażanie i audytowanie różnych rodzajów zabezpieczeń oraz konsultantów zajmujących się integracją systemów informatycznych. Oferta edukacyjna CLICO została wzbogacona o dwa nowe szkolenia: EX01 Opracowanie i praktyczna implementacja polityki bezpieczeństwa sieci i systemów telekomunikacyjnych EX02 Przygotowanie i realizacja audytu bezpieczeństwa systemu informatycznego. Nowe szkolenia stanową atrakcyjną cenowo ofertę edukacyjną, szczególnie dla działów bezpieczeństwa korporacji oraz firm konsultingowych i integratorskich, które potrzebują wyszkolić większą liczbę specjalistów. Uruchomiliśmy również nowe Centrum Testowe firmy ISO-Quality Testing Inc. (IQT). Centrum to dostarcza wiele ciekawych zawodowych testów certyfikacyjnych, które jako unikalne na polskim rynku, mogą stanowić znakomitą pomoc dla osób chcących zdobyć kwalifikacje w Polsce i mieć możliwość zdobycia pracy na całym świecie, a w szczególności w Stanach Zjednoczonych. Clico posiada status wyłącznego dostawcy tych testów na terenie Polski i jest trzecim tego typu centrum w Europie. Firma CLICO została oficjalnym dystrybutorem Safenet w Polsce! Firma Safenet to lider w dziedzinie bezpieczeństwa informacji. Założona w 1983 roku posiada ponad 20 lat doświadczeń w rozwijaniu, wdrażaniu oraz zarządzaniu bezpieczeństwem sieci komputerowych. Safenet dostarcza szeroką gamę rozwiązań programowych oraz sprzętowych do ochrony komunikacji, poufnych danych oraz identyfikacji cyfrowej wykorzystujących wysoko zaawansowane techniki kryptograficzne. Produkty Safenet wykorzystywane są w rozległych sieciach komputerowych i sieciach bezprzewodowych. Znajdują zastosowanie do ochrony danych, tożsamości i własności intelektualnej. Odbiorcą rozwiązań są duże korporacje, instytucje rządowe i finansowe, ale również sektor małych i średnich przedsiębiorstw. Portfolio firmy zawiera także rozwiązania dla użytkowników końcowych. Safenet jest dostawcą wysoko wydajnych platform szyfrujących dla sieci WAN oraz VPN. Dostarcza bogatej gamy sprzętowych modułów kryptograficznych (HSM) zapewniających zarządzanie i dystrybucję kluczy kryptograficznych, ochronę aplikacji oraz wsparcie dla PKI. Sprzętowe szyfratory danych chronią i zarządzają dużymi strukturami baz danych. Producent oferuje również rozwiązania zabezpieczające stacje końcowe oraz urządzania przenośne, zapewniając szyfrowanie dysków na poziomie sektorów, plików, katalogów oraz szyfrowanie danych na urządzeniach przenośnych. Natomiast identyfikacje cyfrową i bezpieczne wieloskładnikowe uwierzytelnianie zapewniają karty inteligentne oraz tokeny USB. Skontaktuj się z nami w celu uzyskania szczegółowych informacji na temat możliwości rozwiązań dostarczanych przez firmę Safenet: psk@clico.pl 12

13 Biuletyn IT Konferencje, seminaria, targi i prezentacje ZGRUPOWANIE KADRY! Clico Partner Event 2008 Tegoroczne Clico Partner Event odbyło się w duchu sportowej rywalizacji. Na miejsce spotkania z naszymi najlepszymi Partnerami Handlowymi wybraliśmy Spałę, miejscowość wypoczynkową znaną przede wszystkim jako ośrodek zgrupowań Polskiej Kadry Olimpijskiej. Na ok. 90 dni przed rozpoczęciem olimpiady w Pekinie, w dniach maja br, trenowaliśmy tańce integracyjne, kajakarstwo, wycieczki plenerowe i piłkę siatkową. Zajęciom sportowym towarzyszyły liczne prezentacje dotyczące rozwiązań dostępnych w ofercie Clico. Zatem słuchacze mogli zgłębić swoją wiedzę z zakresu produktów firm, m.in.: Allot, Check Point, Crossbeam, Impreva, Juniper, Tufin, Trend Micro, Websense, Sun. Piotr Wieschollek, Crossbeam Systems Zgrupowanie na wykładach... Michał Antoniak, Trend Micro Piotr Kędra, Juniper Networks Kadra po godzinach 13