Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Transkrypt

1 Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi Obecnie znakomita większość firm wykorzystujących technologie teleinformatyczne do prowadzenia biznesu, stosuje w swoich infrastrukturach narzędzia zapewniające bezpieczeństwo graniczne sieci. Praktyka pokazuje jednak, iż w większości przypadküw zabezpieczenia sieci funkcjonujące na zasadzie kontroli dostępu firewalle sieciowe - okazują się niewystarczające dla skutecznego zapobiegania zagrożeniom poziomu aplikacyjnego. 80% firm ankietowanych w 2003 roku przez Yankee Group wskazała na wirusy oraz robaki internetowe jako najczęstsze przyczyny występowania incydentüw powodujących istotne zagrożenia bezpieczeństwa swoich zasobüw (proste ataki sieciowe typu DoS były wskazane przez 40% ankietowanych firm 1 ). Badania firmy Meta Group z tego samego roku pokazują, iż 66% ankietowanych firm ucierpiało na skutek wewnętrznych ataküw sieciowych, a tylko od 10% do 20% organizacji uznawało wtedy kwestię bezpieczeństwa wewnętrznego za istotną. Rysunek 1 - Typowe miejsca wdrożeń systemu IPS na przykładzie InterSpect 1 Ankietowani mogli wskazać wiele typåw zagrożeń jednocześnie

2 Wyniki tych badań jasno pokazują, iż większość zagrożeń dla zasobüw informatycznych w chwili obecnej stanowią ataki poziomu aplikacyjnego oraz, że definitywnie minęły czasy jasnego podziału pomiędzy złą siecią zewnętrzną i niegroźną siecią wewnętrzną. Pełnowartościowy system bezpieczeństwa powinien zapewniać (oprücz typowych funkcji zabezpieczeń takich jak kontrola dostępu, szyfrowanie ruchu sieciowego, uwierzytelnienie użytkowniküw, kontrola zawartości, itp.) zarüwno skuteczną ochronę przed atakami prowadzonymi w warstwie aplikacyjnej jak i uniemożliwiać rozprzestrzenianie się zagrożeń od wnętrza sieci. Za skuteczne systemy zabezpieczeń przed atakami poziomu aplikacji uznaje się obecnie systemu klasy IPS (Intrusion Prevention System), dla ktürych wymagania w zakresie realizowanych funkcji rüżnią się znacząco od wymagań stawianych systemom kontroli dostępu. Gros wymagań stawianych systemom IPS wynika m.in. z faktu, iż są to systemy dedykowane do zastosowań w sieciach wewnętrznych. Poniższa tabel ilustruje rüżnice pomiędzy wymaganiami stawianymi systemom funkcjonującym na granicach sieci oraz systemom dedykowanym do pracy w sieciach wewnętrznych. Bezpieczeństwo graniczne Bezpieczeństwo wewnętrzne Środowisko aplikacyjne Standardowe aplikacje, Aplikacje klient-server, Duży stopień zgodności ze standardami dla wykorzystywanych protokołåw, Zazwyczaj centralnie koordynowane aspekty bezpieczeństwa Aplikacje własne, Aplikacje klient-klient, Niewysoki stopień zgodności ze standardami protokołåw, Brak centralnej koordynacji aspektüw bezpieczeństwa Polityka bezpieczeństwa Priorytet działania Blokuj wszystko, co nie jest jawnie dozwolone 1.Bezpieczeństwo. 2.Brak wpływu na normalną pracę sieci. Zezwalaj na wszystko, co nie jest jawnie zabronione 1.Brak wpływu na normalną pracę sieci. 2.Bezpieczeństwo. Protokoły w sieci LAN Mogą być blokowane Muszą być dozwolone Miejsce wdrożenia GłÅwne systemy brzegowe sieci, Użytkownicy zdalni Segment sieci wewnętrznej Każda stacja robocza

3 Czołowym przedstawicielem rynku w segmencie systemåw IPS jest system InterSpect firmy Check Point. Do podstawowych cech systemu InterSpect należą: Blokowanie atakåw pochodzących z wnętrza sieci, Zapobieganie rozprzestrzenianiu się znanych i nieznanych robakåw internetowych (brak ograniczeń spotykanych w innych systemach stosujących wyłącznie metody wykrywania oparte o sygnatury), Segmentacja sieci na strefy bezpieczeństwa, Zaawansowane możliwości kwarantanny, Możliwość elastycznego doboru platformy sprzętowej, Wsparcie dla warstwowej architektury zabezpieczeń. Wykorzystując technologię Application Inteligence (stosowaną rüwnież w systemach Firewall-1/VPN-1 firmy Check Point) system InterSpect zapewnia głęboką inspekcję większości popularnych protokołüw, stosowanych szczegülnie w sieciach wewnętrznych, m.in.: Microsoft RPC, CIFS, MS SQL, MS DCOM, DCOM, Sun RPC, DCE RPC, HTTP. W celu zapewnienia skutecznej ochrony przed atakami systemy IPS (dedykowane do działania w trybie in-line) muszą zostać umiejscowione pomiędzy chronionym systemem a potencjalnym źrüdłem zagrożenia. Rysunek nr 1 przedstawia typowy scenariusz wdrożenia systemu klasy IPS na przykładzie systemu InterSpect. Oczywistym jest, że sieciowe systemy IPS nie są w stanie skutecznie zapobiegać atakom lub rozprzestrzenianiu się robaküw zachodzącym w obrębie tej samej podsieci. Wymagało by to takiego wdrożenia systemu IPS, w ktürym każda stacja końcowa stanowi wydzieloną strefę bezpieczeństwa podłączoną do dedykowanego interfejsu systemu IPS. Jest to w praktyce nie realizowalne, zarüwno z powodu ograniczeń sprzętowych tych systemüw (ilość interfejsüw) jak i potencjalnych kosztüw takiego wdrożenia, ktüre w większości zastosowań (gdyby były technicznie realizowalne) przekroczyłyby wielokrotnie wartość chronionych zasobüw. Skuteczna ochrona pojedynczych stacji roboczych wymaga zastosowania centralnie zarządzanego systemu klasy personal firewall posiadającego wbudowaną funkcjonalność typowego firewalla aplikacyjnego, firewalla sieciowego 2 oraz tzw. host-based IPS. Centralne zarządzanie konfiguracją systemüw personal firewall umożliwia, oprücz zapewnienia bezpieczeństwa stacji końcowej przed zagrożeniami sieciowymi, wymuszanie zgodności użytkowniküw z założoną w organizacji polityką bezpieczeństwa (m.in. korzystanie wyłącznie z dozwolonych przez politykę bezpieczeństwa aplikacji, włącznie z weryfikacją aktualności wersji oprogramowania). 2 W odniesieniu do systemçw personal firewall termin firewall sieciowy oznacza możliwość definiowania typowych, sieciowych reguł kontroli dostępu (choć w odniesieniu do pojedynczego węzłą sieciowego) w odrçżnieniu od typowych reguł firewalla desktopowego kontrolującego uprawnienia do uruchamiania aplikacji.

4 Po akwizycji firmy Zone Labs w portfolio produktüw Check Point znalazł doskonały produkt klasy endpoint security - oprogramowanie Integrity służące zapewnieniu kompleksowej, centralnie zarządzanej ochrony pojedynczych stacji końcowych. W chwili obecnej Check Point jest jedynym producentem na rynku, ktürego produkt klasy IPS InetrSpect umożliwia integrację z systemami bezpieczeństwa węzłüw końcowych typu personal firewall oprogramowaniem Integrity. WspÜłpraca InterSpect z Inegrity umożliwia wymuszanie sieciowych oraz desktopowych polityk bezpieczeństwa w odniesieniu do pojedynczej stacji roboczej w sieci. Konfiguracja taka umożliwia stworzenie kompleksowej, warstwowej ochrony sieci wewnętrznych zapewniającej zgodność każdej stacji końcowej z korporacyjną polityką bezpieczeństwa oraz możliwość blokowania ruchu sieciowego pochodzącego od stacji roboczych nie spełniających reguł polityki bezpieczeństwa. Ilustrację idei wspülnego funkcjonowania w sieciach wewnętrznych przedstawia rysunek nr 2. WspÜłpraca InterSpect z Integrity polega na tym, iż po poprawnym skonfigurowaniu, InterSpect każdorazowo weryfikuje, czy na stacji końcowej żądającej dostępu do sieci uruchomione zostało oprogramowanie klienta Integrity oraz czy stacja posiada aktualne polityki bezpieczeństwa zadane z centralnego serwera Integrity. Istnieje rüwnież możliwość definiowania stacji zaufanych, ktüre mogą uzyskiwać dostęp do zasobüw sieciowych zlokalizowanych poza własnym segmentem sieci nawet w przypadku braku uruchomionego oprogramowania Integrity. Rysunek 2 - WspÑłdziałanie systemñw klasy IPS oraz desktop firewall na przykładzie produktñw Check Point

5 Dodatkowo dla poszczegålnych kategorii zdarzeń związanych ze stanem stacji końcowej w odniesieniu do oprogramowania Integrity istnieje możliwość zdefiniowania jednej z trzech akcji podejmowanej przez InetrSpect ( bypass, inspekt lub block ). Ilustrację sposobu centralnego zarządzania warstwowym bezpieczeństwem w sieciach wewnętrznych w oparciu o produkty Check Point InterSpect oraz CheckPoint Integrity przedstawiono na rysunku nr 3. Rysunek 3 - Zarządzanie zintegrowanym bezpieczeństwem warstwy sieciowej oraz węzłñw końcowych Radosław Wal, CCSE