Check Point VSX - system zabezpieczeń dla Centrów Danych i MSS

Transkrypt

1 PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Check Point VSX - system zabezpieczeń dla Centrów Danych i MSS DEDYKOWANE WARSZTATY ZABEZPIECZEŃ Wykładowca: Mariusz Stawowski CISSP, CCSE+ CLICO Sp. z o.o., Al. 3-go Maja 7, Kraków; Tel: ; ; Fax: ; support@clico.pl, orders@clico.pl.; Ftp.clico.pl.;

2 PROGRAM WARSZTÓW WPROWADZENIE 3 1. ARCHITEKTURA I ZASADY DZIAŁANIA ZABEZPIECZEŃ CHECK POINT VSX 6 2. WIELO-DOMENOWY SYSTEM ZARZĄDZANIA CHECK POINT PROVIDER KONFIGURACJA SYSTEMU ZABEZPIECZEŃ VSX MONITOROWANIE I UTRZYMANIE ZABEZPIECZEŃ VSX CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2

3 Wprowadzenie Szybki rozwój oraz skomplikowanie technologii informatycznych i wynikające z tego koszty utrzymania sprawiają, że wiele firm decyduje się na korzystanie z usług centrów danych (ang. data center). Zbudowanie systemu informatycznego dla centrum danych wymaga zaprojektowania i wdrożenia odpowiednich środków ochrony. W centrach danych występują te same atrybuty bezpieczeństwa jak w innych systemach (tzn. poufność, integralność i dostępność). Ich priorytety są jednak wyższe, szczególnie dla aplikacji krytycznych dla biznesu klientów. Konsolidacja i centralizacja zasobów w centrum danych zwiększa możliwości ich kontroli i obniża koszty utrzymania. Centralizacja zasobów podwyższa jednak zagrożenie ataków (DoS, włamania) i utrudnia zarządzanie bezpieczeństwem (np. wymaga obsługi dużej liczby użytkowników o różnych prawach i poziomie zaufania). Ze względów ekonomicznych systemy informatyczne centrów danych budowane są w oparciu komponenty umożliwiające wirtualizację zasobów m.in. wirtualne serwisy, wirtualne moduły zabezpieczeń, wirtualne rutery, wirtualne sieci VLAN. Wdrożenie zabezpieczeń sieciowych w centrum danych dla większej liczby klientów wymaga zastosowania dedykowanych do tego celu urządzeń zabezpieczeń i sieci. W praktyce nie można dla każdego klienta instalować oddzielnego fizycznego urządzania firewall, VPN, IPS, itd. Dla przykładu, w centrum danych dla 100 klientów musiałoby zostać wdrożonych 100 urządzeń zabezpieczeń, do tego potrzebnych jest kolejne 100 urządzeń dla zapewnienia redundancji, następnie do uruchomienia 200 urządzeń zabezpieczeń należy zapewnić odpowiednią liczbę przełączników sieciowych, zasilanie, kable, pomieszczenie, itd. Z punktu widzenia bezpieczeństwa nie jest jednak dopuszczalne stosowanie jednego urządzenia zabezpieczeń do ochrony wielu klientów. Nawet ze względu na wymaganie dostępu klienta do konfiguracji i logów swojego urządzenia. Rozwiązaniem zabezpieczeń dedykowanym do zastosowań w centrach danych jest Check Point VSX. System zabezpieczeń VSX umożliwia wirtualizację modułów zabezpieczeń tzn. uruchomienie wielu oddzielnych modułów zabezpieczeń na jednym fizycznym urządzeniu CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3

4 Internet VSX Cluster Serwery klienta 1 NOC wirtualne systemy wirtualne systemy Serwery klienta 2 Provider-1 Serwery klienta N WAN (FR, MPLS,...) Sieć klienta 1 Sieć klienta 2 Sieć klienta N Rysunek 1. Koncepcja systemu zabezpieczeń centrum danych / MSS Infrastruktura zabezpieczeń Check Point VSX z uwagi na możliwości wirtualizacji może posłużyć także do świadczenie usług bezpieczeństwa dla sieci firmowych. Ten rodzaj działalności nosi nazwę zarządzanych usług bezpieczeństwa MSS (ang. managed security services). Usługi MSS świadczone są zwykle przez operatorów telekomunikacyjnych. Firmy decydują się na korzystanie z usług MSS z różnych powodów. Dla mniejszych firm problem stanowi zatrudnianie wykwalifikowanych specjalistów w dziedzinie bezpieczeństwa. Z kolei duże korporacje najczęściej decydują się na usługi MSS z uwagi na całościowo niższy koszt posiadania zabezpieczeń IT CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4

5 Świadczenie usług MSS wymaga ich właściwego zaplanowania oraz wdrożenia odpowiedniej infrastruktury organizacyjnej i technicznej. W celu efektywnego świadczenia usług MSS wymagane jest stworzenie dobrze wyposażonego ośrodka zarządzania sieci NOC (ang. network operation center) i zapewnienia mu wydajnych i niezawodnych łączy do sieci klientów. Zwykle połączenia z klientami odbywają się poprzez sieć rozległą WAN. Z uwagi na posiadanie własnej rozległej infrastruktury sieciowej i łatwy dostęp do sieci klientów duże możliwości świadczenia usług MSS posiadają operatorzy telekomunikacyjni. Stanowiska administratorów zabezpieczeń powinny być zlokalizowane w miejscu zapewniającym stałą dostępność do zarządzanych urządzeń przy odpowiedniej przepustowości łączy oraz ich własne bezpieczeństwo (m.in. przed intruzami, utratą zasilania). Istotnym elementem funkcjonowania NOC jest zapewnienie ciągłości zarządzania zabezpieczeń (m.in. ochrony przed awariami). Sprawne działanie NOC wymaga także zastosowania specjalizowanych narządzi zarządzania. Check Point Provider-1 to system zarządzania dedykowany dla centrów danych i MSS. Provider-1 umożliwia efektywną obsługę polityk i konfiguracji wielu różnych urządzeń zabezpieczeń, należących do różnych firm. Zadania zarządzania zabezpieczeń mogą być wykonywane w tym samym czasie przez wielu administratorów. Planując wdrożenie NOC należy zwrócić uwagę na następujące zagadnienia: procedury obsługi zabezpieczeń i organizacja pracy (m.in. obsługa bieżąca oraz w sytuacjach wyjątkowych), nadawanie uprawnień, uwierzytelnianie i audytowanie administratorów, narzędzia wspomagające pracę administratorów (m.in. scentralizowana konfiguracja i aktualizacja oprogramowania urządzeń zabezpieczeń, monitorowanie stanu modułów zabezpieczeń, monitorowanie tuneli VPN, analiza logów i raportowanie), odpowiednia przepustowość łączy i wydajność serwerów zarządzania, umożliwiająca interakcyjne administrowanie urządzeń oraz sprawne instalowanie polityk zabezpieczeń, odbiór alarmów i logów, ochrona NOC przed intruzami (m.in. dedykowana strefa bezpieczeństwa wydzielona na firewall, ochrona kryptograficzna komunikacji, monitorowanie sieci za pomocą IPS, sumy kontrolne plików konfiguracyjnych), a także ochrona NOC przed awariami (m.in. konfiguracja HA urządzeń i stacji zarządzających, kopie backup, zapasowe zasilanie, łącza zapasowe, dostęp wdzwaniany do urządzeń, zapasowa lokalizacja NOC) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5

6 1. Architektura i zasady działania zabezpieczeń Check Point VSX Check Point Virtual System extension (VSX) umożliwia wdrożenie i centralne zarządzanie różnych konfiguracji i polityk zabezpieczeń firewall dla wielu klientów przy zachowaniu niewielkich nakładów na sprzęt (m.in. wszystkie moduły inspekcyjne firewall mogą funkcjonować na jednej maszynie). Zastosowanie technologii Check Point SecureXL dodatkowo podnosi wydajność systemu VSX. Podstawowym elementem VSX są wirtualne systemy VS (ang. virtual system), realizujące funkcje bezpieczeństwa zgodnie z własną konfiguracją i politykami zabezpieczeń. Wirtualne systemy VS stanowią oddzielną instancję firewall w zakresie obsługi rutingu IP i zabezpieczeń. Działając na tym samym fizycznym urządzeniu różne VS zachowują swoją autonomiczność m.in. posiadają oddzielne tabele stanu, polityki, parametry konfiguracyjne, logi, certyfikaty SIC, interfejsy i tabele rutingu. W architekturze systemu VSX oprócz wirtualnych systemów można wyróżnić następujące elementy (patrz rysunek 2): Wirtualny przełącznik VSW (ang. virtual switch) służy do komunikacji pomiędzy VS. Wiele VS może poprzez VR współdzielić jeden interfejs fizyczny. Wirtualny przełącznik nie wymaga konfiguracji adresacji IP. Wirtualny ruter VR (ang. virtual router) służy podobnie jak wirtualny przełącznik do komunikacji pomiędzy VS. Wiele VS może poprzez VR współdzielić jeden interfejs fizyczny. VR posiada wbudowany moduł ochrony firewall. Domyślnie VR przepuszcza całą napływającą komunikację sieciową, za wyjątkiem ruchu kierowanego do VR, który podlega inspekcji zgodnie z polityką zabezpieczeń VR. Połączenia wirtualne tzw. warp link, łączące VS z wirtualnym przełącznikiem VSW lub wirtualnym ruterem VR. Interfejsy wirtualne po stronie VS noszą nazwę wrp<numer>, zaś po stronie wirtualnego rutera i przełącznika nazwę wrpj<numer> CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6

7 interfejs i link fizyczny Wirtualny przełącznik interfejs i link wirtualny (warp link) VS klienta 1 VS klienta 2 VS klienta N Wirtualny ruter Rysunek 2. Podstawowe elementy systemu zabezpieczeń VSX Urządzenie zabezpieczeń VSX może działać w trybie rutera (L3 OSI) lub trybie transparentnym (L2 OSI). Działając w trybie transparentnym system VSX wspiera protokoły warstwy drugiej m.in. STP (ang. spanning tree protocol) i jego rozszerzenia. W systemie VSX można wykorzystywać interfejsy fizyczne i VLAN oraz wewnętrzne interfejsy wirtualne warp. Wirtualne rutery umożliwiają ustawienia rutingu statycznego opartego o miejsce przeznaczenia (ang. destination based routing) oraz rutingu źródłowego (ang. source based routing). VSX obsługuje także protokoły dynamicznego rutingu (RIPv1/2, OSPFv2, BGP-4). Różne VS mogą przy tym posiadać własne tabele rutingu, tworzone za pomocą różnych protokołów. Wirtualne systemy w zależności do przyjętego modelu zarządzania mogą posiadać oddzielnych administratorów. Zarządzanie systemu VSX może odbywać się z SmartCenter Server lub Provider-1, specjalizowanego do zarządzania wielo-domenowego. SmartCenter Server zapewnia jedną domenę zarządzania posiadającą jedną bazą obiektów z możliwością definiowania wielu polityk zabezpieczeń. W centrach danych i MSS najczęściej stosuje się wielo-domenowy system zarządzania Provider-1. Każda domena zarządzania może posiadać oddzielnych administratorów z różnymi uprawnieniami oraz oddzielne bazy obiektów i polityki zabezpieczeń. Typowa architektura zabezpieczeń VSX została przedstawiona na rysunku 3. Jeden interfejs zewnętrzny jest współdzielony przez wszystkie wirtualne systemy VS. Każdy z VS posiada oddzielny interfejs wewnętrzny VLAN (802.1q), łączący system zabezpieczeń z sieciami poszczególnych klientów. W zależności od potrzeb system VSX może zostać 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7

8 wdrożony także w inny sposób m.in. dedykowane fizyczne interfejsy do sieci wewnętrznych, jeden współdzielony interfejs do sieci wewnętrznych bez VLAN, urządzenia VSX w trybie transparentnym (L2 OSI). Zarządzanie VSX odbywa się poprzez dedykowany interfejs sieciowy. Całość komunikacji urządzenia VSX z systemem zarządzania (SmartCenter Server, Provider-1) jest realizowana z wykorzystaniem jednego adresu IP, także w VSX działającym w konfiguracji klastrowej (HA). Komunikacja wirtualnych systemów z zewnętrznymi serwerami uwierzytelniania (LDAP, RADIUS, TACACS+) może odbywać się z VS bezpośrednio lub w sposób współdzielony (tzn. serwery uw. są dostępne dla VS poprzez obiekt VSX gateway). Interfejs zewnętrzny (fizyczny) Wirtualny przełącznik Ruter System zarządzania Provider-1 VSX gateway VLAN Trunk (802.1q) VS klienta 1 VS klienta 2 VS klienta N Przełącznik Interfejs zarządzania (fizyczny) Interfejsy wewnętrzne (VLAN 802.1q) Klient 1 Klient 2 Klient N Rysunek 3. Typowa architektura systemu zabezpieczeń VSX Urządzenia VSX działające na platformie systemowej SecurePlatform mogą zostać wdrożone w konfiguracji odpornej na awarie HA za pomocą modułu ClusterXL lub w urządzeniach firewall appliance (np. Crossbeam) innych dostępnych mechanizmów klasteringu. W razie awarii może nastąpić przełączenie urządzenia VSX lub poszczególnych VS. Synchronizacja w klastrze VSX obejmuje tabele stanu modułów zabezpieczeń. Moduł ClusterXL na platformie SecurePlatform zapewnia także synchronizację tabel rutingu CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8

9 2. Wielo-domenowy system zarządzania Check Point Provider-1 Check Point Provider-1 to centralny system zarządzania zabezpieczeń dedykowany dla dużych korporacji, centrów danych oraz dostawców usług bezpieczeństwa. System umożliwia sprawne zarządzanie dużej liczby polityk i modułów zabezpieczeń. Provider-1 rozszerza funkcjonalność standardowego systemu zarządzania SmartCenter Server o możliwości administrowania z jednej konsoli wielu polityk zabezpieczeń różnych firm. Podstawowym komponentem Provider-1 są serwery Multi Domain Server (MDS). Serwer MDS na jednej platformie sprzętowej umożliwia uruchomienie wielu oddzielnych modułów zarządzania Customer Management Add-on (CMA). Zwykle jeden moduł CMA służy do zarządzania polityk zabezpieczeń jednej firmy (klienta). Polityka zabezpieczeń CMA może dotyczyć wielu różnych modułów zabezpieczeń, chroniących zasoby IT określonej firmy. Moduł CMA posiada własne reguły polityki zabezpieczeń, własny urząd certyfikacji ICA, własną bazę użytkowników i obiektów sieciowych oraz pliki logów. Funkcjonalnie CMA jest odpowiednikiem SmartCenter Server. NOC może składać się z wielu serwerów MDS i dzięki temu zarządzać nawet wieloma tysiącami polityk zabezpieczeń. Rysunek 4 przedstawia koncepcję wdrożenia Provider-1 z systemem VSX. VSX Gateway CMA CMA CMA CMA CMA CMA wirtualne systemy Multi-Domain GUI Provider-1 MDS Rysunek 4. System zabezpieczeń VSX zarządzany przez Provider-1 Zarządzanie serwerów MDS odbywa się z konsoli Multi Domain GUI (MDG). Elementem odróżniającym MDG od standardowej konsoli zarządzania SmartCenter Server jest możliwość definiowana globalnych polityk zabezpieczeń (ang. global policy). Polityki globalne zawierają reguły obowiązujące w wielu CMA. Z poziomu MDG dla poszczególnych CMA uruchamiane są standardowe narzędzia konsoli zarządzania SmartConsole (m.in. SmartDashboard, SmartView Tracker, SmartView Monitor) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9

10 W systemie zarządzania Provider-1 można wyróżnić dwa rodzaje serwerów MDS, instalowanych na jednej platformie sprzętowej lub oddzielnie, tzn.: MDS Manager utrzymuje dane systemu zarządzania Provider-1 i odpowiada za komunikację z MDG, MDS Container utrzymuje bazy i zarządza modułami CMA. W dużych systemach w celu zmniejszenia obciążenia serwera MDS można na dedykowanym serwerze zainstalować moduł Multi-customer Log Module (MLM). Jest to dedykowany serwer logów, który przejmuje od MDS zadania obsługi zdarzeń rejestrowanych w systemach zabezpieczeń. W razie potrzeby można także w sieciach klientów wdrożyć serwery logów Customer Log Module (CLM), przeznaczone do obsługi zdarzeń rejestrowanych w systemach zabezpieczeń tych klientów. Rysunek 5. Konsola systemu zarządzania Provider-1 (MDG) 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 10

11 Administratorzy systemu zarządzania Provider-1 mogą uwierzytelniać swoją tożsamość za pomocą haseł statycznych (Check Point Password, OS Password), haseł dynamicznych (RADIUS, TACACS, SecurID), a także certyfikatów cyfrowych X.509 wydawanych przez wewnętrzny urząd certyfikacji ICA. Zarządzanie może odbywać się z wielu konsol MDG w tym samym czasie. W systemie zarządzania Provider-1 występują następujące rodzaje administratorów (patrz rysunek 5): Provider-1 Superuser - zarządza całym systemem Provider-1 i konfiguracjami klientów; posiada uprawnienia zarządzania innymi administratorami; dysponuje wszystkimi narzędziami administracyjnymi. Customer Superuser - zarządza konfiguracjami wszystkich klientów za pomocą konsoli MDG i SmartConsole; zarządza administratorami niższego szczebla (tzn. Customer Manager, None Administrator); nie posiada uprawnień modyfikacji środowiska MDS. Customer Manager - zarządza konfiguracjami określonych klientów; zarządza administratorami typu None Administrator swoich klientów. None Administrator - administratorzy spoza systemu Provider-1, którzy mogą zarządzać zabezpieczeniami klientów za pomocą narzędzi SmartConsole; nie mają dostępu do konsoli zarządzania MDG. System zarządzania Provider-1 posiada możliwości wdrożenia w konfiguracji odpornej na awarie (HA). Ochrona przed awariami dotyczy MDS i CMA, tzn. serwery MDS mogą funkcjonować w konfiguracji HA i synchronizować swoje bazy danych; moduły CMA, zainstalowane na różnych serwerach MDS mogą funkcjonować we wzajemnej redundancji CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 11

12 3. Konfiguracja systemu zabezpieczeń VSX Konfiguracja zabezpieczeń zostanie omówiona na przykładzie systemu VSX przedstawionego na rysunku 6. Jest to typowa architektura zabezpieczeń VSX z interfejsami VLAN po stronie sieci wewnętrznych. W przykładzie urządzenie VSX złożone z trzech wirtualnych systemów jest zarządzane z systemu Provider-1 poprzez jeden moduł CMA. eth1 Wirtualny przełącznik IP: IP: IP: Ruter IP: Eth eth1 VSX gateway VS_1 VS_2 VS_3 Provider-1 MDS: CMA(1): GUI: eth2 VLAN Trunk (802.1q) VLAN 10 IP: VLAN 20 IP: VLAN 30 IP: Zarządzanie VSX gateway IP: eth2.10 eth2.20 eth2.30 Klient 1 Klient 2 Klient 3 IP: /24 IP: /24 IP: /24 Rysunek 6. Przykładowa architektura zabezpieczeń VSX 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 12

13 Procedura konfiguracji zabezpieczeń VSX za pomocą konsoli Provider-1 MDG: 1. Dodajemy nowego klienta. 2. Ustalamy zakres kopiowanej bazy obiektów globalnych (tzn. czy kopiowane są wszystkie obiekty z bazy czy tylko obiekty wykorzystywane w przydzielonej dla CMA globalnej polityce zabezpieczeń) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 13

14 3. Definiujemy moduł CMA dla klienta (m.in. ustalamy adres IP do zarządzania CMA, administratorów i stacje zarządzania GUI Client) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 14

15 4. Definiujemy obiekt reprezentujący system VSX Gateway 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 15

16 5. Wybieramy architekturę systemu VSX 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 16

17 6. Konfigurujemy interfejsy sieciowe VSX 7. Ustalamy protokoły zarządzania VSX 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 17

18 8. Tworzymy pierwszy wirtualny system VS 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 18

19 9. Tworzymy kolejne wirtualne systemy (tworząc VS_2 oraz VS_3 postępujemy analogicznie jak dla VS_1) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 19

20 10. Definiujemy i instalujemy politykę zabezpieczeń VS 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 20

21 11. W razie potrzeby z poziomu Provider-1 może zdefiniować politykę globalną 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 21

22 12. Przypisujemy politykę globalną do CMA i instalujemy na VS CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 22

23 4. Monitorowanie i utrzymanie zabezpieczeń VSX Informacje na temat stanu poszczególnych elementów zabezpieczeń VSX można odczytać z konsoli MDG oraz narzędzi SmartView Monitor. -- moduły systemu zabezpieczeń oraz polityki globalne 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 23

24 -- monitorowanie VSX za pomocą narzędzi SVM 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 24

25 W pewnym zakresie obsługa i monitorowanie systemu VSX może odbywać się za pomocą poleceń linii komend CLI, m.in.: fw vsx stat // odczyt stanu systemu VSX fw getifs // lista interfejsów, do których przywiązany jest moduł firewall fw vsx deletevs // usunięcie określonego VS z systemu VSX fw vsx sic reset // reset połączenia SIC określonego VS reset_gw // reset systemu VSX m.in. usunięcie wszystkich VS 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 25