Szanowni Państwo, Po długiej przerwie przesyłamy najnowszy numer Biuletynu IT. Zamieszczone w tym wydaniu artykuły skupiają się wokół tematyki szeroko rozumianego bezpieczeństwa sieci i prezentują najnowsze rozwiązania firm Check Point, Websense i Palo Alto. Zachęcamy do lektury. Redakcja W bieżącym wydaniu... dr inż. Mariusz Stawowski Check Point Proof of Concept Przetwarzanie poufnych danych i wykonywanie newralgicznych operacji (np. przelewy bankowe, odczyt poufnych danych) z komputerów PC stało się bardzo ryzykowne. Firmy nie mają pewności, że komputery, z których pracownicy korzystają także z usług Internetu są wolne do złośliwych aplikacji (Bot, Bootkit, itp.). Jednym z możliwych rozwiązań tego problemu jest wirtualizacja środowiska roboczego użytkownika. Check Point zaprojektował rozwiązanie wirtualizacji środowiska PC dostępne w formie przenośnego, sprzętowo szyfrowanego urządzenia USB. Poddaliśmy to rozwiązanie testom odporności na rzeczywiste ataki exploit. Więcej o wynikach testów czytaj na str. 2 dr inż. Mariusz Stawowski Skuteczna ochrona przed nowymi zagrożeniami wykorzystywanymi przez przestępców komputerowych Obecnie większość firm stosuje tradycyjne zabezpieczenia UTM/IPS zarówno do ochrony przed zagrożeniami typu server-side jak i client-side. W celu dokonania oceny rzeczywistych możliwości tradycyjnych i nowej kategorii zabezpieczeń Next-Generation Firewall (NGF) w zakresie ochrony przed zagrożeniami client-side wykonane zostały praktyczne testy wybranych rozwiązań UTM i NGF. Więcej o wynikach testów czytaj na str. 3 Krzysztof Górowski Delegowane administrowanie w Websense 7. Priorytet ról administracyjnych Niniejsze opracowanie jest poświęcone opisowi funkcji delegowanego administrowania zawartego w oprogramowaniu Websense 7 ze szczególnym naciskiem na zaawansowane scenariusze wymagające uwzględnienia priorytetu ról zarządzających.( ) Oprogramowanie egzekwujące politykę wykorzystania Internetu przez pracowników musi umożliwiać wydelegowanie określonych osób do funkcji administrowania i raportowania. Produkty Websense Web Security umożliwiają delegowanie uprawnień administracyjnych w oparciu o role. Więcej str. 12 Juniper Networks Award Ceremony Więcej str. 19 1
dr inż. Mariusz Stawowski Check Point Proof of Concept Zabezpieczenia wielu firm zostały zaprojektowane do ochrony serwerów i nie są przygotowane na nowe zagrożenia ukierunkowane na użytkowników i ich stacje robocze, m.in.: ataki na przeglądarki Web realizowane w sesjach zaszyfrowanych HTTPS/SSL, itd. Liczne błędy Web 2.0 (np. Stored XSS) sprawiają, że ataki client-side prowadzone są także z zaufanych serwerów firmowych. W ostatnim czasie tysiące ludzi padło ofiarą przestępców komputerowych działających w Internecie (Internet Crime Report 2008). Wykonywanie newralgicznych operacji (np. przelewy bankowe, odczyt poufnych danych) z komputerów PC stało się ryzykowne. Firmy nie mają pewności, że komputery PC, z których pracownicy korzystają także z usług Internetu są wolne do złośliwych aplikacji (Bot, Bootkit, itp.). Jednym z możliwych rozwiązań tego problemu jest wirtualizacja środowiska roboczego, tzn. użytkownik na jednym fizycznym komputerze PC ma do dyspozycji wiele środowisk pracy, np. jedno do usług Internetu, drugie do wykonywania newralgicznych operacji. Stosowanie do tego celu konwencjonalnych maszyn wirtualnych (np. VMware TM ) jest kosztowne i mało elastyczne. Check Point zaprojektował rozwiązanie wirtualizacji środowiska PC dostępne w formie przenośnego, sprzętowo szyfrowanego urządzenia USB. malware (m.in. zablokowane pluginy do Internet Explorer DLL i ActiveX) sprawiają, że Abra chroni aplikacje i dane użytkownika przed atakami z sieci, również 0-day exploit. W celu weryfikacji efektywności działania zabezpieczeń Abra zostały wykonane testy za pomocą rzeczywistych ataków exploit typu client-side (patrz rysunek 1). Przygotowane zostało środowisko testowe, które składa się z komputera PC bez zabezpieczeń desktopowych i aktualizacji oprogramowania, m.in. stara wersja przeglądarki Web podatna na wiele ataków exploit. Ataki zostały wygenerowane za pomocą popularnego pakietu Metasploit. w pierwszej kolejności sprawdzono możliwość włamania do komputera PC (patrz rysunek 2). Założono, że użytkownik Abra nie będzie miał do dyspozycji bezpiecznego komputera PC. Rysunek 2. Środowisko testowe umożliwia wykonywanie włamań do komputera PC Rysunek 1. Środowisko testowe do generowania ataków exploit client-side Check Point Abra zapewnia izolację środowiska pracy użytkownika od potencjalnie niebezpiecznego środowiska fizycznego komputera PC, a także ochronę danych w trakcie składowania, przetwarzania i transmisji w sieci. Izolacja środowiska, precyzyjna kontrola aplikacji (każdego uruchomianego kodu wykonywalnego) i ochrona przed infekcją Testy miały za zadanie sprawdzić, czy środowisko Abra uruchomione na niezabezpieczonym komputerze PC, do którego można z łatwością się włamać będzie w stanie ochronić środowisko robocze użytkownika przed atakami exploit. W trakcie testów użytkownik nie korzystał z przeglądarki Web składowanej na Flash urządzenia Abra (taka możliwość istnieje), ale dziurawej przeglądarki z komputera PC. Wszystkie wykonane ataki exploit zostały przez Abra zablokowane (patrz rysunek 3). Stało się tak dlatego, że środowisko Abra dokonuje autoryzacji każdego wykonywanego kodu, również ładowanych do pamięci kodów exploit/shellcode. Także ataki 0-day exploit są w ten sposób przez Abra blokowane. 2
Biuletyn IT Dodatkowo dla pracowników firm, posiadających zabezpieczenia sieciowe Check Point możliwe jest wymuszenie, aby cała komunikacja z Abra przechodziła przez tunel VPN zestawiony z urządzeniem VPN-1 i tam była poddawana kontroli przez firmowe zabezpieczenia jak AV, IPS, WF i DLP. Urządzenie Abra wyposażone jest w wiele innych zabezpieczeń (m.in. skaner Endpoint Security On Demand, ochrona przed atakami Brute Force, itd.). Informacje na ten temat można znaleźć w dokumentacji produktu. Rysunek 3. Wszystkie ataki exploit zostały zablokowane w środowisku Abra dr inż. Mariusz Stawowski Skuteczna ochrona przed nowymi zagrożeniami wykorzystywanymi przez przestępców komputerowych Wnioski z testów i analizy Powszechnie stosowane produkty zabezpieczeń jak Unified Threat Management (UTM) i Intrusion Prevention System (IPS) posiadają ograniczone możliwości ochrony przed współczesnymi zagrożeniami client-side (m.in. ataki w komunikacji zaszyfrowanej SSL, użycie niebezpiecznych aplikacji). Testowane rozwiązanie Next-Generation Firewall (NGF) poprawnie wykryło i zablokowało wszystkie wykonane ataki client-side. Zalecane jest zastosowanie w projektach zabezpieczeń środków bezpieczeństwa adekwatnych dla zagrożeń client-side czytaj szczegółowe wyniki testów i rekomendacje. Wprowadzenie Oszustwa w bankach i sklepach internetowych oraz innych systemach e-commerce zapewniają przestępcom komputerowym ogromne zyski finansowe. Zwykle serwery są odpowiednio zabezpieczone przed atakami z sieci, więc przestępcy komputerowi wybierają łatwiejszą drogę i wykorzystują podatności typu client-side. Intruzi wykorzystując podatności client-side uzyskują nieupoważniony dostęp do stacji roboczych użytkowników i często także uzyskują dostęp do poufnych informacji firmy oraz mogą też manipulować sesje aplikacji użytkowników (np. modyfikować transakcje e-banking lub e-commerce, nielegalnie wykorzystywać karty kredytowe, itp.). Zgodnie z statystykami oszust finansowych w Internecie publikowanymi przez wiarygodne instytucje (np. Internet Crime Complaint Center TM ), ofiarami przestępców są zarówno komputery domowe jak i komputery firmowe zabezpieczone za pomocą firewalli, IPS, itd. Podatności client-side zwykle wynikają z nie zaktualizowanego oprogramowania na desktopach, laptopach lub urządzeniach PDA. Wykorzystanie niebezpiecznych aplikacji jest innym zagrożeniem typu client-side, które powinno zostać poddane dokładnej analizie (np. współdzielenie plików i desktopu). Wiele popularnych aplikacji jak P2P/IM i Skype używa tunelowania oraz własnych technik szyfrowania i dzięki temu umożliwia użytkownikom pobieranie niebezpiecznych plików z sieci zewnętrznych (np. Internet) bez kontroli przez zabezpieczenia w sieci firmowej. Obecnie większość firm stosuje tradycyjne zabezpieczenia UTM/IPS zarówno do ochrony przed zagrożeniami typu server-side jak i client-side. W celu dokonania oceny rzeczywistych możliwości tradycyjnych i nowej kategorii zabezpieczeń Next-Generation Firewall (NGF) w zakresie ochrony przed zagrożeniami client-side wykonane zostały praktyczne testy wybranych rozwiązań UTM (Fortinet TM FortiGate TM 50B, FortiOS TM v4.0.4) i NGF (Palo Alto 3
Networks TM PA-2020, PAN-OS TM v3.0.5). Rozwiązania UTM i NGF w trakcie testów posiadały najnowsze wersje oprogramowania i aktualne bazy AV i IPS (Uwaga: wykorzystanie do testów urządzenia UTM i NGF posiadają różną przepustowość. Nie miało to wpływu na wyniki testów, ponieważ wydajność zabezpieczeń nie była poddawana ocenie). Kontrola niebezpiecznych aplikacji Cel testu Celem testu jest praktyczna ocena, czy zabezpieczenia IT poprawnie wykrywają niebezpieczne aplikacje (tzn. współdzielenie plików w P2P/VoIP z własnym szyfrowaniem, anonimowy dostęp do usług Internetu), a także zapewniają odpowiednie narzędzia wizualizacji i monitorowania wykorzystania aplikacji oraz precyzyjną kontrolę dostępu użytkowników do aplikacji. Opis zagrożenia Większość nowych aplikacji (np. P2P/IM, VoIP) wykorzystuje popularne protokoły sieciowe (np. HTTP, HTTPS, DNS) jak również dynamicznie nadawane numery portów i własne techniki szyfrowania. Aplikacje te są trudne do identyfikacji dla powszechnie stosowanych zabezpieczeń sieciowych i w konsekwencji użytkownicy mogą korzystać z niebezpiecznych usług Internetu w sposób anonimowy oraz pobierać i wysyłać złośliwe pliki (np. Trojan, Bot) bez jakiejkolwiek kontroli przez zabezpieczenia w sieci. Wymagania prawa i innych regulacji: Kontrola wykorzystania aplikacji jest podstawowym wymaganiem standardów bezpieczeństwa IT (ISO 27001, PCI, itd.). ISO 27001 wymaga, aby użytkownicy mieli dostęp tylko do serwisów, dla których posiadają specjalną autoryzację (A.11.4.1. policy on use of network services). Część 1. Wykrywanie aplikacji Konfiguracja testu Założenia: Firewall posiada bardzo restrykcyjną politykę zabezpieczeń, która zezwala tylko na usługi Web w protokołach HTTP (80-tcp) i HTTPS/SSL (443-tcp). Aplikacje które nie zostały rozpoznane są domyślnie blokowane. Do testów zostały wybrane popularne aplikacje, które są uznawane za niebezpieczne, tzn. Skype, Azureuz (klient BitTorrent wykorzystujący dynamiczne porty TCP/UDP i szyfrowane połączenia, także Tor), Gadu-Gadu (popularna w Polsce aplikacja IM) oraz Web Proxy. W czasie testów były wykorzystywane narzędzia monitorowania i raportowania dostępne na urządzeniach zabezpieczeń. Konfiguracja zabezpieczeń UTM: UTM blokuje znane złe aplikacje a także aplikacje nie rozpoznane.! Uwaga Kontrola aplikacji w testowanym rozwiązaniu UTM wykorzystuje sygnatury modułu IPS. Znane złe aplikacje mogę być traktowane jak ataki i blokowane. 4
Biuletyn IT Konfiguracja zabezpieczeń NGF: Polityka zabezpieczeń firewall Palo Alto Networks TM ustala dozwolone aplikacje. Domyślnie wszystkie inne aplikacje są zablokowane (zasada The Principle of Least Privilege ). Wyniki testu Wyniki testu UTM: W przyjętej do testów, restrykcyjnej polityce zabezpieczeń większość aplikacji jest przez UTM blokowana. W rzeczywistym wdrożeniu kontroli aplikacyjnej urządzenie UTM skonfigurowane tak, aby blokować wszystkie nie rozpoznane aplikacje, będzie najprawdopodobniej blokować wiele legalnych aplikacji (np. nowe wersje aplikacji, aplikacje dla których UTM nie posiada sygnatur IPS, itp.). Testowane rozwiązanie UTM nie dostarcza łatwych metod do śledzenia i definiowania wyjątków dla nie rozpoznanych aplikacji, więc w rzeczywistym wdrożeniu zabezpieczeń może okazać się konieczne zezwolenie nie rozpoznanych aplikacji. W takiej sytuacji wiele niebezpiecznych aplikacji może przejść przez zabezpieczenia UTM jako nie rozpoznany ruch (np. aplikacja Skype). Przykład aplikacji która przechodzi przez zabezpieczenia UTM jako ruch nie rozpoznany. Wyniki testów NGF: Aplikacje zostały zablokowane. 5
Testowane rozwiązanie NGF oferuje narzędzia do śledzenia i definiowania wyjątków dla nie rozpoznanych aplikacji (tzn. Application Command Center, Application Override), więc w rzeczywistych wdrożeniach zabezpieczeń nie jest konieczne przepuszczanie nie rozpoznanych aplikacji. Część 2. Widoczność i monitorowanie aplikacji Wdrożenie na firewallu adekwatnej kontroli aplikacyjnej wymaga dobrej widoczności aplikacji w ruchu sieciowym. Testowane rozwiązania UTM i NGF posiadają narzędzia o różnych możliwościach monitorowania aplikacji. Narzędzia UTM: Narzędzia NGF: 6
Biuletyn IT Część 3. Kontrola dostępu do aplikacji W rzeczywistości występują potencjalnie niebezpieczne aplikacje, które są używane do celów biznesowych (np. Internet Chat, Webex, Social networking). Często ze względów biznesowych takie aplikacje nie mogą zostać zablokowane dla wszystkich pracowników firmy. Zabezpieczenia powinny definiować dokładną politykę wykorzystania aplikacji przez indywidualnych użytkowników, zapewniającą dostęp tylko dla pracowników, którzy potrzebują aplikacji do wykonywania zadań służbowych. Konfiguracja zabezpieczeń UTM: W profilu UTM aplikacje, które powinny być dozwolone są definiowane przed aplikacjami, które powinny być zablokowane. Dla niektórych aplikacji (np. BitTorrent) dostępna jest prosta konfiguracja zarządzania pasmem (traffic shaping). Konfiguracja zabezpieczeń NGF: Polityka zabezpieczeń firewall jasno określa dozwolone aplikacje i domyślnie wszystkie inne aplikacje są zablokowane. Dostęp do aplikacji może być nadany dla indywidualnych użytkowników, transparentnie uwierzytelnianych w Microsoft Active Directory, Terminal Services i Citrix. Pasmo sieci dostępne dla dozwolonych aplikacji jest zarządzane przez polityki QoS. Ataki w zaszyfrowanej komunikacji Cel testu Celem testu jest praktyczna ocena, czy zabezpieczenia IT mogą poprawnie wykrywać i blokować ataki client-side wykonywane w ruchu zaszyfrowanym. Koncepcja testu została przedstawiona na rysunku 1. 7
Opis zagrożenia Przeglądarki Web są częstym celem ataków clientside (źródło: SANS Institute TM, The Top Cyber Security Risks 2009). Intruz może zaatakować przeglądarkę poprzez nakłonienie użytkownika do odwiedzenia złośliwej strony Web (np. wysyłając użytkownikowi ofertę pracy lub inne interesujące dane z linkiem URL do doczytania szczegółów). W większości przypadków zabezpieczenia IPS jak również sieciowe i desktopowe systemy kontroli zawartości (tzn. anty-wirus, anty-spyware, anty-malware) efektywnie wykrywają i blokują znane ataki exploit na przeglądarki Web wykonywane z protokole HTTP. Sprytni intruzi jednak wykorzystują techniki obchodzenia zabezpieczeń jak szyfrowanie komunikacji sieciowej, przez co identyfikacja ataków jest trudniejsza. W praktyce łatwiej jest nakłonić ludzi do wejścia na złośliwą stronę Web, gdy jest ona dostępna przez bezpieczny protokół HTTPS, który większość użytkowników komputerów uważa za zaufany. W Internecie nie jest problemem dla intruza uzyskanie i wykorzystanie legalnego certyfikatu SSL, wydanego przez zaufany Urząd Certyfikacji do zabezpieczenia złośliwej komunikacji HTTPS. Także bez certyfikatu wydanego przez zaufany Urząd Certyfikacji intruzi mają duże szanse powodzenia, ponieważ wielu użytkowników nie zwraca uwagi na widomości na temat certyfikatu serwera Web wyświetlane przez przeglądarkę. Dla powszechnie stosowanych rozwiązań ochrony (tzn. firewall stateful inspection, IPS, anty-wirus) ataki na przeglądarki Web w komunikacji zaszyfrowanej są niewidoczne. Konfiguracja testu Testy zabezpieczeń zostały wykonane za pomocą prostych, publicznie dostępnych narzędzi (m.in. Metasploit http://www.metasploit.com). Tunelowanie SSL może zostać zaimplementowane z użyciem odpowiedniego komponentu serwera Web (tzn. tunelującego stronę HTML z exploitem w ruchu HTTPS) lub rozwiązania SSL VPN. Exploit i payload (zaszyfrowane połączenie HTTPS/SSL 443-tcp otwarte przez użytkownika z sieci wewnętrznej) Tunelowanie SSL Exploity client-side Backdoor (połączenie zwrotne otwarte za pomocą protokołu HTTP 80-tcp) Stacja użytkownika (IP: 10.10.20.111) Narzędzia generowania ataków (Metasploit) Stacja audytora (IP: 192.168.101.100) Rysunek 1. Koncepcja testu wykonywania ataków na przeglądarkę Web w ruchu zaszyfrowanym Założenia: Firewall posiada bardzo restrykcyjną politykę zabezpieczeń, która zezwala tylko na usługi Web w protokołach HTTP (80-tcp) i HTTPS/SSL (443-tcp). Ruch sieciowy jest poddawany inspekcji przez zabezpieczenia IPS wszystkie ataki włączone. Dodatkowo włączone są kontrola aplikacyjna i zabezpieczenia anty-wirusowe dla HTTP. Wybrane do testów ataki client-side to znane exploity wykorzystujące podatności popularnych przeglądarek Web (Microsoft Internet Explorer TM, Mozilla FireFox TM ).! Uwaga Niektóre exploity client-side dostępne w Metasploit mogą być wykryte przez moduł AV. Do testów zostały wybrane exploity, które nie zostały wykryte przez AV. Konfiguracja zabezpieczeń UTM: Firewall zezwala tylko serwisy HTTP i HTTPS. 8
Biuletyn IT IPS blokuje wszystkie groźne ataki (tzn. ataki o średnim, wysokim i krytycznym poziomie zagrożenia).! Uwaga Testowane rozwiązanie UTM nie wspiera inspekcji IPS dla ruchu SSL (źródło: dokumentacja producenta FortiGate TM Version 4.0 Administration Guide ). Konfiguracja zabezpieczeń NGF: Firewall zezwala tylko serwisy HTTP i HTTPS. IPS blokuje wszystkie groźne ataki (tzn. ataki o średnim, wysokim i krytycznym poziomie zagrożenia). Inspekcja SSL włączona dla nie-zaufanych systemów Web. 9
! Uwaga Testowane rozwiązania NGF (Palo Alto Networks TM ) poddaje inspekcji ruch SSL z wykorzystaniem wszystkich dostępnych funkcji ochrony, tzn. IPS, AV, anty-spyware, Web filtering, data i file filtering. Wyniki testu Wyniki testu UTM: Testy UTM dla ruchu zaszyfrowanego nie mogły zostać wykonane, ponieważ inspekcja SSL w testowanym rozwiązaniu UTM nie realizuje funkcji IPS (źródło: dokumentacja producenta FortiGate TM Version 4.0 Administration Guide ). Podatność client-side Moduł ataku Metasploit Ruch nieszyfrowany HTTP Ruch zaszyfrowany SSL CVE-2006-3730 CVE-2006-5745 CVE-2008-2463 CVE-2008-3008 CVE-2005-2265 CVE-2006-3677 exploit/windows/browser/ ms06_057_webview_setslice exploit/windows/browser/ ms06_071_xml_core exploit/windows/browser/ ms08_041_snapshotviewer exploit/windows browser/ms08_053_mediaencoder exploit/multi/browser/ mozilla_compareto exploit/multi/browser/ mozilla_navigatorjava Exploit nie wykryty Nd. Nd. Nd. Nd. Nd. Nd. Ataki wykryte w nie-zaszyfrowanym ruchu HTTP. Wszystkie ataki w połączeniach zaszyfrowanych HTTPS przeszły przez zabezpieczenia UTM. 10
Biuletyn IT! Uwaga Exploity zostały wysłane w protokole SSL. Połączenie zwrotne HTTP oznacza, że użyta do testów wersja przeglądarki Web była podatna na atak (tzn. exploit otworzył połączenie Backdoor). Wyniki testów NGF: Podatność client-side Moduł ataku Metasploit Ruch nieszyfrowany HTTP Ruch zaszyfrowany SSL CVE-2006-3730 CVE-2006-5745 CVE-2008-2463 CVE-2005-2265 CVE-2006-3677 exploit/windows/browser/ ms06_057_webview_setslice exploit/windows/browser/ ms06_071_xml_core exploit/windows/browser/ ms08_041_snapshotviewer exploit/multi/browser/ mozilla_compareto exploit/multi/browser/ mozilla_navigatorjava Ataki wykryte w ruchu nieszyfrownym HTTP oraz zaszyfrowanym HTTPS. 11
Wnioski końcowe i zalecenia Powszechnie stosowane produkty zabezpieczeń (m.in. UTM, IPS) oferują bardzo ograniczone możliwości ochrony przed współczesnymi zagrożeniami client-side, m.in.: 1. Testowane rozwiązanie UTM nie było w stanie wykrywać ataków exploit typu client-side w ruchu zaszyfrowanym HTTPS (tzn. funkcja IPS nie była wspierana dla ruchu SSL). Także inne dostępne na rynku rozwiązania UTM i IPS nie oferują funkcji intrusion prevention dla wychodzącego ruchu HTTPS/SSL (tzn. użytkowników surfujących w Internecie). 2. Kontrola aplikacyjna w testowanym rozwiązaniu UTM bazuje na module IPS. Dokładność identyfikacji aplikacji w rozwiązaniu UTM była niższa od rozwiązania NGF. 3. Testowane rozwiązanie UTM nie posiada narzędzi do dokładnej wizualizacji ruchu aplikacyjnego. W konsekwencji administratorzy zabezpieczeń mogą być nieświadomi tego, że niebezpieczne aplikacje są używane w sieci firmowej. 4. Testowane rozwiązanie UTM nie posiada precyzyjnej polityki wykorzystania aplikacji. Kontrola aplikacyjna jest definiowana w profilach UTM związanych z regułami firewall stateful inspection. Tylko dla niektórych aplikacji dostępna jest prosta konfiguracja zarządzania pasmem. W czasie testów rozwiązanie NGF zapewniło odpowiednią ochronę przed wszystkimi wykonanymi atakami client-side. W zakresie kontroli niebezpiecznych aplikacji, testowane rozwiązanie NGF (Palo Alto Networks TM ) posiada dedykowane narzędzia do wizualizacji ruchu aplikacyjnego, umożliwiające podgląd bieżącego ruchu aplikacyjne- Otóż okazuje się, iż samo stworzenie polityki wykorzystania Internetu przez pracowników w firmie nie jest zadaniem szczególnie skomplikowanym. Po zapoznaniu się z obowiązkami i zakresem odpowiedzialności poszczególnych pracowników oraz ich grup implementacja polityki jest zadaniem z mocno określonym czasem realizacji. Natomiast przeglądanie raportów aktywności pracowników oraz wprowago z przejściem do specyficznych informacji o poszczególnych aplikacjach, użytkownikach i związanymi z nimi zagrożeniami. Polityka zabezpieczeń NGF jasno określa dozwolone aplikacje i domyślnie wszystkie inne aplikacje są zablokowane. Jest to bezpośrednia implementacja zasady The Principle of Least Privilege (ISO 27001 A.11.4.1.). NGF zarządzania także pasmem sieci poprzez polityki QoS, które mogą być definiowane dla aplikacji, użytkowników, adresów IP, interfejsów, tuneli VPN i innych parametrów. Tradycyjne zabezpieczenia Firewall, IPS, UTM, WAF, VPN, itd. Next-Generation Firewall Wizalizacja aplikacji, kontrola i App QoS Inspekcja SSL (IPS, anty-malware, DLP) Transparentne uwierzytelnianie użytkowników (AD, Citrix, TS) Internet Stacje użytkowników DMZ i inne strefy w sieci Rysunek 2. Lokalizacja NGF w sieci zapewniająca efektywną ochronę przed zagrożeniami client-side Dla firm gdzie bezpieczeństwo IT bazuje na tradycyjnych zabezpieczeniach (tzn. sieciowy firewall, IPS, UTM) zalecane jest wdrożenie dodatkowej warstwy ochrony opartej o NGF, która będzie odpowiedzialna za zabezpieczenie zasobów IT przed nowymi zagrożeniami client-side (m.in. atakami w zaszyfrowanym ruchu SSL, wykorzystaniem niebezpiecznych aplikacji). Rysunek 2 pokazuje sugerowaną lokalizację NGF w infrastrukturze sieciowej firmy. W przypadku testowanego rozwiązania NGF, jego wdrożenie w sieci nie wymaga jej rekonfiguracji ani przebudowy, ponieważ zabezpieczenia NGF mogą działać transparentnie. Krzysztof Górowski Delegowane administrowanie w Websense 7. Priorytet ról administracyjnych Niniejsze opracowanie jest poświęcone opisowi funkcji delegowanego administrowania zawartego w oprogramowaniu Websense 7 ze szczególnym naciskiem na zaawansowane scenariusze wymagające uwzględnienia priorytetu ról zarządzających. Skąd w ogóle wzięła się potrzeba wykorzystania funkcji delegowanej administracji? 12
Biuletyn IT dzanie modyfikacji w pierwotnej polityce może być już zadaniem dość czasochłonnym. Uwzględnić należy również strukturę organizacji, często rozproszonej geograficznie, co może wymagać, że tylko wybrane osoby są odpowiedzialne za tworzenie i modyfikowanie polityki, a zupełnie inne za przeglądanie raportów aktywności wszystkich pracowników lub określonej grupy pracowników, np. lokalnego oddziału. Oprogramowanie egzekwujące politykę wykorzystania Internetu przez pracowników musi umożliwiać odzwierciedlenie takich relacji i wydelegowanie określonych osób do funkcji administrowania i raportowania. Produkty Websense Web Security umożliwiają delegowanie uprawnień administracyjnych w oparciu o role. Definicja roli Definicja roli obejmuje: listę użytkowników określanych jako administratorzy tej roli (Administrators), listę użytkowników, którzy będą zarządzani przez administratorów w tej roli (Managed Clients), uprawnienia dotyczące raportów, które określają przede wszystkim czy administratorzy w tej roli mogą przeglądać raporty wszystkich użytkowników, czy tylko tych, którzy podlegają danej roli (Reporting Permissions). Aby móc wyjaśnić jak delegowana administracja może przydać się w tworzeniu polityki wykorzystania Internetu przez pracowników warto w pierwszej kolejności opisać jak oprogramowanie Websense realizuje filtrowanie. Po pierwsze należy zdefiniować pojęcie polityki. Definicja polityki Polityka stanowi harmonogram określający akcje dla kategorii stron oraz protokołów obowiązujące w określonych dniach i godzinach. Możliwe akcje to: dopuść, zablokuj, potwierdź, oraz quota czasowa. Przykładowa polityka przedstawiona na poniższym zrzucie ekranu przewiduje wykorzystanie różnych filtrów w godzinach pracy oraz poza nimi, a w dni wolne wyłącznie monitorowanie. Rysunek 1. Przykładowa polityka filtrowania 13
Tak zdefiniowana polityka zostać przypisana do następujących obiektów: użytkownik lub grupa z usługi katalogowej, np. Active Directory, adres IP, lub zakres adresów IP. Dla przykładu, komputerom w firmie przypisano politykę ogólna polityka firmy, następnie dla wybranych grup i użytkowników domeny ich indywidualne polityki. Co stanie się jeżeli polityka ogólna blokuje dostęp do materiałów dla dorosłych (Adult Content), a polityka konkretnego użytkownika zezwala na ten dostęp? Załóżmy zatem, iż użytkownik Jan Nowak pracujący na komputerze z adresem IP 10.10.1.1 w przeglądarce wpisał adres www.playboy. com. Websense w pierwszej kolejności sprawdzi czy temu konkretnemu użytkownikowi przypisano indywidualną politykę, jeżeli nie Websense będzie kontynuował sprawdzanie zgodnie z kolejnością jak poniżej: indywidualna polityka użytkownika usługi katalogowej polityka dla adresu IP komputera, z którego pochodzi żądanie polityka zakresu adresów IP (podsieci) polityka grupy do której należy użytkownik polityka jednostki organizacyjnej OU polityka domyślna Default Policy Dobrą praktyką jest zmodyfikowanie polityki domyślnej tak, aby była bardzo restrykcyjna, wręcz wszystko blokowała. W takim przypadku dostęp do Internetu będą mieli tylko wybrani pracownicy lub grupy, dla których zostanie przypisana odpowiednia polityka. Konflikt polityk Często zdarza się, iż pracownik należy do wielu grup równocześnie. Co się stanie w przypadku, gdy polityki grup, do których należy pracownik określają inne akcje dla wybranej kategorii? Przykładowo, administrator systemu Websense blokuje dostęp do kategorii Adult Content zawierającej, m.in. stronę www.playboy.com dla grupy G1 z usługi katalogowej, równocześnie zezwalając na ten dostęp dla grupy G2. Użytkownik U1 należy do obu grup tak jak to obrazuje schemat poniżej. Administrator Websense Polityka P 1 Polityka P 2 Grupa G1 Grupa G2 Użytkownik U1 www.playboy.com? Rysunek 2. Konflikt polityk, grupy zarządzane przez jednego administratora 14
Biuletyn IT Czy Websense zablokuje czy zezwoli na dostęp użytkownika U1 do strony www.playboy.com? Zachowanie systemu Websense określa ustawienie dostępne w konsoli Websense Manager w części Settings -> Filtering -> General Filtering: Jeżeli opcja ta jest zaznaczona zastosowana zostanie polityka bardziej restrykcyjna, innymi słowy, jeżeli polityka dla jednej grupy zezwala na dostęp do żądanej strony, podczas, gdy polityka dla drugiej grupy go blokuje, wynikowo dostęp będzie zablokowany. W omawianym przypadku polityka P1 blokuje dostęp i tak też będzie akcja. Po wyłączeniu tej opcji, wystarczy, że polityka dla jednej z grup, do których należy pracownik zezwala na dostęp do strony, a będzie on przyznany. Ponieważ polityka P2 umożliwia dostęp, tak też się stanie. Załóżmy, że omawiana firma jest na tyle rozbudowana, że do zarządzania grupą do której należy pracownik U1 wydelegowano dedykowaną osobę. Stworzono zatem rolę R1 oraz jako klienta w tej roli przypisano grupę usługi katalogowej G1. Od tej pory tworzeniem polityki oraz przeglądaniem raportów aktywności pracowników w tej grupie zajmował się użytkownik przypisany jako administrator tej roli. Wszystko było jasne do czasu zanim wyniknęła konieczność stworzenia drugiej grupy G2 w usłudze katalogowej. Załóżmy następnie, że pracownik U1 należy również do tej grupy, różnica w tym, że zarządza nią inny administrator w ramach innej roli R2. Co się stanie jeżeli Administrator 1 w ramach roli R1 zablokuje grupie G1 dostęp do strony www.clico.pl podczas, gdy Administrator 2 w ramach R2 zezwoli na ten dostęp? Czy pracownik U1 należący do obu tych grup będzie w stanie uzyskać informacje o najnowszych szkoleniach autoryzowanych Websense w Clico? W tym przypadku ustawienie Use most restrictive group policy nie pomoże decydować o wynikowej polityce pracownika U1. Tutaj zastosowanie ma priorytet ról administracyjnych. Priorytet ról administracyjnych Mechanizm zarządzania priorytetem ról delegowanej administracji pozwala rozstrzygnąć w sytuacjach konfliktowych, który z administratorów zdefiniował ważniejszą politykę. Ustawienie to dostępne jest w konsoli Websense Manager, w sekcji Main -> Delegated Administration -> Advanced -> Manage Role Priority. Aby poznać działanie tej funkcji prześledźmy poniższy przykład. W środowisku Websense oprócz wbudowanej roli Super Administrator zdefiniowano dwie role: R1 oraz R2. Administratorzy w tych rolach zarządzają odpowiednio grupami G1 oraz G2. Pierwszy z administratorów podjął decyzję, iż pracownicy w grupie G1 nie powinni oglądać stron dla dorosłych w ogóle, dla kategorii Adult Content ustawił zatem akcję blokuj. Zdaniem drugiego administratora pracownicy z pewnych względów (tematem opracowania nie jest wnikanie, jakie to względy) powinni mieć dostęp do tych stron przez ograniczony czas, stąd polityka grupy G2 umożliwia dostęp czasowy dla kategorii Adult Content. Użytkownik U1 należy do obu grup w Active Directory. 15
Rola R1 Rola R2 Administrator 1 Administrator 2 Polityka P 1 Polityka P 2 Grupa G1 Grupa G2 Użytkownik U1 www.playboy.com? Rysunek 3. Konflikt polityk, grupy zarządzane przez delegowanych administratorów W pierwszej kolejności: priorytet roli R1 jest wyższy niż priorytet roli R2. Przy próbie wejścia na stronę z kategorii Adult Content użytkownik U1 zobaczy stronę blokującą * jak na Rysunku 4. * Polskie strony blokujące naszego autorstwa są dostępne do pobrania z Portalu Partnerskiego Clico: https://partner. clico.pl/get_file.php?id=868 16
Biuletyn IT Załóżmy, że podjęta została decyzja, iż to jednak polityka Administratora 2 jest ważniejsza: priorytet roli R2 jest wyższy niż priorytet roli R1. Zgodnie z polityką zdefiniowaną przez Administratora 2 strona blokująca dla kategorii Adult Content umożliwia użytkownikowi wybranie opcji dostępu czasowego. Rysunek 4. Stronia blokująca dostęp do zawartości Wykorzystujemy funkcje, która pozwala uzyskać więcej informacji ze strony blokowania. W tym celu na stronie blokującej klikamy odnośnik więcej informacji, a gdy pojawi się okno jak poniżej Rysunek 6. Strona blokująca dostęp do zawartości Znanym już sposobem poznajmy szczegóły: Rysunek 5. Uzyskanie szczegółowych informacji ze strony blokującej kliknięcie prawym przyciskiem myszy w górnym obszarze okna i wybranie Pokaż źródło pozwala zyskać wgląd dla jakiego użytkownika i jakie akcje zostały podjęte przez Websense, jak również jaka polityka została użyta: Nazwa użytkownika: LDAP://10.10. xx.xx CN=Users,DC=clico,DC=pl/U1 Źródłowy adres IP: 10.10.xx.xx Obecny czas: 16:13 Polityka o nazwie role-1192**p1 jest przypisana do grupy o nazwie LDAP://10.10.xx.xx CN=Users,DC=clico-,DC=pl/G1 i zawiera zestaw kategorii zdefiniowany dla tej pory dnia. Rysunek 7. Uzyskanie szczegółowych informacji ze strony blokującej Nazwa użytkownika: LDAP://10.10. xx.xx CN=Users,DC=clico,DC=pl/U1 Źródłowy adres IP: 10.10.xx.xx Obecny czas: 15:59 17
Polityka o nazwie role-1217**p2 jest przypisana do grupy o nazwie LDAP://10.10.xx.xx CN=Users,DC=clico-,DC=pl/G2 i zawiera zestaw kategorii zdefiniowany dla tej pory dnia. Jak widać, za pierwszym razem dla użytkownika U1 została zastosowana polityka P1, podczas, gdy po zmianie priorytetu ról R1 i R2 miejsce miała akcja wynikająca z ustawień polityki P2. Powyższy przykład obrazuje w jaki sposób możliwe jest określenie, który z administratorów ma wyższy priorytet jeżeli chodzi o określanie polityki akceptowalnego wykorzystania Internetu przez pracowników oraz w jaki sposób można kontrolować, ustawienia której polityki będą efektywnie obowiązywać dla pracowników w rozbudowanych środowiskach. Dociekliwym Czytelnikom polecamy zapoznanie się z pozostałymi funkcjami związanymi z delegowaniem administrowania m.in. mechanizmem Filter Lock, który pozwala na nałożenie pewnych ograniczeń odnośnie swobody strojenia polityki przez delegowanych administratorów. Rysunek 8. Funkcja Filter Lock Niniejsze opracowanie powstało w oparciu o doświadczenie inżynierów firmy Clico oraz materiały szkoleniowe firmy Websense. Więcej informacji o szkoleniach Websense: Firma Clico w roku 2007 uzyskała status WATP Websense Authorized Training Partner. Uzyskanie statusu WATP umożliwia firmie Clico samodzielne oferowanie autoryzowanych szkoleń Websense swoim partnerom handlowym oraz klientom. Legitymowanie się statusem WATP potwierdza spełnienie przez Clico surowych wymogów dotyczących warunków szkoleniowych oraz poziomu dostarczanych szkoleń. Wartym podkreślenia jest fakt, iż zaszczytem tym w całej Europie Wschodniej może pochwalić się jeszcze tylko jedna firma (stan na marzec 2010). Od momentu ustanowienia ośrodka WATP firma Clico przeprowadziła szereg autoryzowanych szkoleń Websense, pomagając wielu firmom w uzyskaniu pożądanych bądź wymaganych kompetencji w zakresie produktów Websense. CLICO ATC, Kraków, ul. Oleandry 2 Bożena Tarasiuk: bozena.tarasiuk@clico.pl Piotr Misiowiec: piotr.misiowiec@clico.pl Pozostałe szkolenia w ofercie Clico: http://www.clico.pl/edukacja/ Do zobaczenia w CLICO!! W razie jakichkolwiek pytań związanych z niniejszym opracowaniem, jak również oprogramowaniem Websense prosimy o kontakt na adres psk@clico.pl 18
Biuletyn IT Juniper Networks Award Ceremony 14 stycznia 2010 roku w Krakowie odbyło się podsumowanie roku i wręczenie nagród dla najlepszych partnerów handlowych Juniper Networks w Polsce. W restauracji Wesele spotkali się przedstawiciele Juniper Networks, dystrybutora na Polskę Clico oraz 10 najlepszych partnerów. Nagrodzono nie tylko tych, którzy osiągnęli największy sukces sprzedażowy, Juniper docenił też szczególnie zaangażowanych inżynierów i handlowców oraz najciekawsze wdrożenie. Wszystkim nagrodzonym jeszcze raz serdecznie gratulujemy. Nagroda dla Asseco Od lewej: Piotr Kędra, Jacek Bryk, Anna Dziekańska, Piotr Wróbel Wręczenie nagrody dla firmy Qumak -Sekom Od lewej: Jacek Bryk, Anna Dziekańska, Łukasz Kułacz Goście Award Ceremony 19