PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik projektowania i wdrażania zabezpieczeń sieciowych Opracował: Mariusz Stawowski Check Point Certified Security Engineer Entrust Certified Consultant CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
Spis treści 1. PROJEKT SYSTEMU ZABEZPIECZEŃ 3 2. ARCHITEKTURA SYSTEMU ZABEZPIECZEŃ 5 3. IDENTYFIKOWANIE I BLOKOWANIE ATAKÓW DESTRUKCYJNYCH (D)DOS ORAZ WYRAFINOWANYCH PRÓB PENETRACJI I WŁAMAŃ 7 4. SYSTEM KONTROLI ZAWARTOŚCI 9 5. SYSTEM MOCNEGO UWIERZYTELNIANIA UŻYTKOWNIKÓW 11 6. BEZPIECZNY DOSTĘP DO ZASOBÓW SIECI KORPORACYJNEJ DLA ODLEGŁYCH UŻYTKOWNIKÓW 13 7. ZINTEGROWANIE ZABEZPIECZEŃ RUTERA INTERNET Z SYSTEMEM ZAPOROWYM FIREWALL-1 14 8. ZASTOSOWANIE NARZĘDZI WSPOMAGAJĄCYCH ANALIZĘ I RAPORTOWANIE ZDARZEŃ15 9. ZASTOSOWANIE NARZĘDZI WSPOMAGAJĄCYCH WYKONYWANIE AUDYTÓW BEZPIECZEŃSTWA 16 10. ZARZĄDZANIE ROZDZIAŁEM PASMA SIECI DLA PROTOKOŁÓW, UŻYTKOWNIKÓW I USŁUG 17 11. OCHRONA SYSTEMU ZABEZPIECZEŃ FIREWALL PRZED AWARIAMI SPRZĘTOWYMI I PROGRAMOWYMI 18 12. UWIERZYTELNIANIE TOŻSAMOŚCI UŻYTKOWNIKÓW W TRYBIE JEDNOKROTNEGO LOGOWANIA SINGLE SIGN ON 19 13. OCHRONA KRYPTOGRAFICZNA I PKI 20 14. ROZWÓJ KWALIFIKACJI ZAWODOWYCH PERSONELU OBSŁUGI ZABEZPIECZEŃ 22 2
1. Projekt systemu zabezpieczeń Podstawą bezpieczeństwa systemu informatycznego jest dobrze opracowany projekt, wdrożony z użyciem właściwie dobranych technologii renomowanych producentów, zarządzany przez wykwalifikowaną kadrę informatyczną. Projektowane zabezpieczenia powinny być oparte w znacznej mierze na wynikach specyfikacji wymagań bezpieczeństwa, a także ogólnej teorii zabezpieczeń (m.in. wymagane jest dokonanie weryfikacji odporności systemu na strategię włamań Island Hopping Attack). Tworzenie zabezpieczeń systemu informatycznego powinno odbywać się w przemyślany, wcześniej szczegółowo zaplanowany sposób zgodnie ze sprawdzoną metodyką. Poniższy diagram przedstawia etapy tworzenia projektu zgodnie z metodyką wypracowaną i stosowaną przez CLICO. Specyfikacja wymagań bezpieczeństwa Opracowanie architektury systemu Wyszczególnienie stref bezpieczeństwa Ustalenie składowych systemu zabezpieczeń Określenie zasad funkcjonowania zabezpieczeń Opracowanie infrastruktury zarządzania systemu Ustalenie wymagań i odpowiedzialności personelu obsługi Analiza bezpieczeństwa systemu 3
Poprawny projekt systemu zabezpieczeń charakteryzuje się m.in. następującymi własnościami: opracowany zgodnie z sprawdzoną metodyką, zawiera etapy analizy, projektowania i wdrożenia, brak zbędnych opisów przepisanych z literatury, przejrzysty i zrozumiały model bezpieczeństwa, wyraźnie zaznaczone, opisane strefy bezpieczeństwa, opis infrastruktury technicznej (narzędzia informatyczne, platforma sprzętowa, wymagania lokalizacyjne), opis infrastruktury organizacyjnej (określenie kompetencji i kwalifikacji personelu, opracowanie procedur działań w przypadku obsługi codziennej oraz sytuacji alarmowych), precyzyjna specyfikacja sprzętowo-programowa, plany testów akceptacyjnych. 4
2. Architektura systemu zabezpieczeń Spełnienie wszystkich w/w wymagań względem projektu systemu zabezpieczeń wymaga opracowania odpowiedniej architektury. Dla przykładu, architekturą systemu dostępu do Internetu opracowaną i zalecaną do stosowanie przez CLICO jest architektura Centralnego Węzła Dostępu (CWD). CWD posiada wyraźnie zaznaczone strefy bezpieczeństwa, wprowadzone ze zrozumiałych i uzasadnionych powodów. System zabezpieczeń CWD składa się z wielu zintegrowanych warstw ochrony, które uzupełniają i ubezpieczają się wzajemnie. System zabezpieczeń powinien składać się z wielu zintegrowanych modułów ochrony, które uzupełniają i ubezpieczają się wzajemnie. Modułowa budowa systemu zabezpieczeń umożliwia sprawne dokonywanie zmian w środowisku sieciowym, aplikacyjnym i usługowym oraz formach dostępu tak jakościowych (protokoły, łącza) jak i ilościowych (liczba jednoczesnych połączeń). Komponenty systemu zabezpieczeń powinny być administrowane z centralnej stacji zarządzającej, zlokalizowanej w dobrze zabezpieczonym obszarze sieci (w dedykowanej strefie). Z punktu widzenia bezpieczeństwa sieci prywatnej można w systemie CWD wyróżnić następujące warstwy ochrony (patrz rysunek): Serwery RAS Serwery publiczne (DMZ) W1 W2 W3 INTERNET Firewall Ruter Firewall CWD (gateway) SIEĆ PRYWATNA System wykrywania intruzów Systemy zabezpieczeń wspomagających Stacja zarządzająca zabezpieczeń CWD W1 warstwa ochrony dla systemu CWD Firewall przed atakami (szczególnie atakami destrukcyjnymi DoS) i innymi niedozwolonymi działaniami z obszaru Internetu, W2 warstwa ochrony dla systemu CWD Firewall oraz innych elementów sieci prywatnej przed wyrafinowanymi atakami (Exploit, DoS, itp.) z obszaru Internetu, W3 warstwa ochrony dla sieci prywatnej przed atakami i innymi niedozwolonymi działaniami z innych obszarów sieci (CWD Firewall separuje strefy bezpieczeństwa). Warstwy ochrony systemu CWD stanowią wzmocnienie innych środków bezpieczeństwa istniejących w sieci wewnętrznej (zabezpieczeń warstwy systemu operacyjnego, aplikacji użytkowych, baz danych, itp.). Poszczególne warstwy: W1, W2 i W3 ubezpieczają i uzupełniają się wzajemnie, tak aby w razie wystąpienia niepoprawnego działania jednej z warstw (błąd konfiguracji, błąd oprogramowania, wstrzymanie działania zabezpieczeń) pozostałe warstwy nie umożliwiały łatwego zaatakowania sieci prywatnej oraz pozwalały na szybkie zidentyfikowanie nieprawidłowości. 5
System zabezpieczeń CWD powinien zostać tak skonfigurowany, aby samoczynnie sygnalizować (alarmować) i podejmować odpowiednie działania w razie wykrycia nieprawidłowości i naruszeń bezpieczeństwa: 1. Firewall Ruter nie powinien przepuszczać żadnych pakietów kierowanych do systemu Firewall CWD za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (np. połączeń wymaganych do zestawienia VPN). Wszystkie tego typu odrzucone na Firewall Ruter pakiety powinny być rejestrowane w logu centralnej stacji zarządzającej. 2. Firewall CWD powinien blokować i alarmować wszelkie próby połączeń ze strefy zawierającej serwery publiczne WWW, DNS i E-Mail (potencjalnie najbardziej narażonej na włamania) do sieci prywatnej za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (tzn. połączeń z serwerem poczty w sieci wewnętrznej). 3. System wykrywania intruzów (włamań) powinien identyfikować i alarmować nieprawidłowe działanie, bądź błędną konfigurację zabezpieczeń Firewall Ruter na podstawie analizy ruchu sieciowego (tzn. na skutek zauważenia pakietu skierowanego do niedozwolonego portu Firewall CWD, który normalnie nie powinien przejść przez Firewall Ruter). 4. System wykrywania intruzów powinien identyfikować i alarmować nieprawidłowe działanie, bądź błędną konfigurację zabezpieczeń Firewall CWD na podstawie analizy ruchu sieciowego (tzn. na skutek zauważenia pakietu sesji FTP lub HTTP zainicjowanej przez komputery w sieci prywatnej, który normalnie nie powinien przejść przez Firewall CWD). 5. System wykrywania włamań powinien samoczynnie modyfikować politykę bezpieczeństwa Firewall CWD w zakresie blokowania źródła ataku, jednak tylko wtedy gdy wykryty atak jest rzeczywiście groźny dla sieci wewnętrznej oraz istnieje przypuszczenie, że istniejące zabezpieczenia sieci nie chronią dostatecznie przed tym atakiem. Wybór najbardziej odpowiedniej technologii do wdrożenia zabezpieczeń CWD powinien zostać dokonany na podstawie analizy porównawczej produktów: posiadających możliwości wdrożenia zabezpieczeń i polityki bezpieczeństwa ustalonych w projekcie, posiadających największe referencje na rynku komercyjnym wg badań niezależnych instytucji (np. Data Monitor, International Data Corporation, Gartner Group), posiadających wiarygodne, rządowe certyfikaty bezpieczeństwa 1 (ITSEC 2, TCSEC, Common Criteria), posiadających możliwości współdziałania z innymi systemami używanymi w przedsiębiorstwie, posiadających na terenie Polski odpowiednią infrastrukturę pomocy technicznej i szkoleń. Zagadnienia zawarte w dalszej część opracowania to ogólne koncepcje, które nie powinny być traktowane jako element wypracowanego projektu systemu zabezpieczeń. Przedstawione praktyczne rozwiązania zostały dobrane przy założeniu, że system ochrony sieci jest oparty na Check Point VPN-1/FireWall-1 (wg IDC 41% rynku Firewall, wg Data Monitor 62% rynku VPN, certyfikaty rządowe UK ITSEC i US Common Criteria). CLICO preferuje technologie, dla których świadczy na terenie Polski usługi pomocy technicznej i szkoleń oraz posiada certyfikowanych specjalistów zabezpieczeń (m.in. Check Point, Entrust, ISS, esafe, StoneBeat). 1 Certyfikaty NCSA i ICSA nie są honorowane przez CLICO z uwagi na mało wiarygodną procedurę ich nadawania. 2 Patrz http://www.itsec.gov.uk 6
3. Identyfikowanie i blokowanie ataków destrukcyjnych (D)DoS oraz wyrafinowanych prób penetracji i włamań Wdrożony w sieci komputerowej przedsiębiorstwa system zabezpieczeń z reguły oparty jest na systemie zaporowym Firewall, który posiada tylko ograniczone możliwości identyfikowania ataków destrukcyjnych (D)DoS oraz wyrafinowanych prób penetracji i włamań. Szczególnie dotyczy to tzw. Exploit poziomu aplikacji, stanowiących obecnie najczęściej wykorzystywaną metodę włamań do systemów chronionych przez Firewall. Zalecanym uzupełnieniem w tym zakresie jest wdrożenie systemu klasy IDS (Intrusion Detection System) i zintegrowanie go z istniejącymi zabezpieczeniami Firewall. Rozwiązanie to jest zgodne z obowiązującym w systemach o podwyższonych wymaganiach bezpieczeństwa adaptacyjnym modelem bezpieczeństwa (patrz rysunek). ISS RealSecure jest obecnie najbardziej renomowanym na rynku systemem zabezpieczeń umożliwiającym identyfikowanie i reagowanie w czasie rzeczywistym na groźne ataki sieciowe oraz inne działania uznane za niedozwolone lub podejrzane (wg IDC 88% rynku programowych IDS). System składa się z trzech podstawowych komponentów: moduł inspekcyjny analizujący ruch sieciowy, wykrywający znane wzorce Network Sensor (dawniej Network Engine) moduł inspekcyjny analizujący ruch sieciowy, wykrywający znane wzorce ataków, działania podejrzane oraz inne zdarzenia zdefiniowane przez administratora, OS Sensor (dawniej System Agent) moduł inspekcyjnych dokonujący analizy zdarzeń rejestrowanych w systemie operacyjnym komputera, wykrywający znane wzorce ataków, działania podejrzane oraz inne zdarzenia zdefiniowane przez administratora, Server Sensor moduł inspekcyjny o funkcjonalności OS Sensor, dodatkowo wykrywający ataki z sieci na serwer, Workgroup Manager konsola umożliwiająca zcentralizowane, graficzne zarządzanie modułów inspekcyjnych Network/OS/Server Sensor. Po wykryciu zdarzenia, które zgodnie z przyjętą polityką bezpieczeństwa jest zabronione, bądź podejrzane RealSecure może podjąć następujące działania: a) wysłać alarm do konsoli zarządzającej, b) zapisać w logu notatkę o wystąpieniu zdarzenia lub całość sesji sieciowej, c) zarejestrować czasowy przebieg sesji sieciowej (umożliwiając późniejsze symulacyjne odtworzenie przebiegu zdarzeń), d) zabić sesję sieciową (wysłać pakiet RESET to klienta i serwera TCP), e) wysłać komunikat do Check Point FireWall-1 w celu modyfikacji jego polityki bezpieczeństwa, f) zamknąć sesję użytkownika w systemie operacyjnym i zablokować jego konto na określony czas, 7
g) bezwarunkowo zablokować konto użytkownika w systemie operacyjnym (odblokowania konta może dokonać tylko administrator), h) przekazać informacje o zdarzeniu do administratora pocztą (E-Mail, Pager, SMS), i) wysłać komunikat do menedżera SNMP, j) wyświetlić ostrzeżenie dla użytkownika, k) wykonać inne działania zdefiniowane przez administratora. DMZ RealSecure Server Sensor RealSecure OS Sensor Internet Sieć prywatna Check Point FireWall-1 inspekcja (brak TCP/IP) zarządzanie Workgroup Manager RealSecure Network Sensor Mając na względzie bezpieczeństwo instalacji zabezpieczeń RealSecure zalecane jest, aby moduł RealSecure Network Sensor został wdrożony na komputerze z dwoma kartami sieciowymi w konfiguracji "skrytej" (ang. stealth configuration). W takiej konfiguracji jedna karta sieciowa jest podłączona do bezpiecznej sieci prywatnej (gdzie zlokalizowana jest konsola zarządzająca), a druga do sieci w której wykonywana jest analiza ruchu. Inspekcja sieci jest prowadzona na interfejsie pracującym w trybie "promiscuous", który nie posiada adresu IP, ani też skonfigurowanego stosu TCP/IP i dzięki temu system jest praktycznie niewrażliwy na jakiekolwiek ataki. Poniższy rysunek przedstawia koncepcję zalecanego wdrożenia RealSecure. 8
4. System kontroli zawartości Kontrola zawartości komunikacji sieciowej w zakresie wykrywania i eliminowania wirusów, koni trojańskich, robaków i innych groźnych aplikacji należy do ważnych zadań systemu zabezpieczeń sieci podłączonej do Internetu. Podstawowe drogi przenikania złośliwych aplikacji z Internetu to poczta elektroniczna SMTP, transfer plików protokołami FTP i HTTP oraz załączniki aplikacyjne do stron HTML (ActiveX, VBS, Java, itp.). Do wdrożenia systemu kontroli zawartości należy wybrać produkt, dla którego oficjalnie wiadomo, że poprawnie współpracuje z istniejącym systemem zaporowym. Jeżeli system zaporowy to Check Point VPN-1/ FireWall-1 należy sprawdzić, czy rozwiązanie znajduje się na liście certyfikowanych produktów Check Point OPSEC, np.: esafe Gateway firmy Aladdin Knowledge Systems, InterScan VirusWall firmy Trend Micro, SuperScout firmy SurfControl, Websense Enterprise firmy Websense, Inc. (kompletna lista certyfikowanych produktów OPSEC jest publikowana na stronach http://www.checkpoint.com/opsec). Z punktu widzenia skuteczności zabezpieczeń zalecane jest, aby system kontroli zawartości zintegrowany z Firewall został oparty na innej technologii od zastosowanej do ochrony antywirusowej serwerów i stacji roboczych wewnątrz sieci. Jednymi z najbardziej renomowanych produktów tej klasy stosowanych razem z FireWall-1 są Trend Micro InterScan VirusWall (wg IDC 54% rynku internetowych serwerów antywirusowych) oraz Aladdin esafe Gateway. 9
Do istotnych własności InterScan VirusWall i esafe Gateway należą: a) możliwość kontroli antywirusowej przesyłek SMTP oraz ich załączników, a także plików przesyłanych poprzez FTP i HTTP, b) skanowanie ruchu HTTP w zakresie wykrywania i blokowania niebezpiecznych procedur ActiveX, Visual Basic Script, Jscript, Java Script i apletów Java, c) wysyłanie ostrzeżeń oraz wiadomości o wykryciu wirusów do nadawcy, odbiorcy i administratora, d) możliwość automatycznego, periodycznego uaktualniania bazy wirusów poprzez Internet, e) intuicyjny, graficzny interfejs administratora GUI, f) zgodność ze specyfikacją CVP (Content Vectoring Protocol). 10
5. System mocnego uwierzytelniania użytkowników Do wdrożenia systemu wiarygodnego uwierzytelniania tożsamości użytkowników należy wybrać renomowane i sprawdzone rozwiązanie. Można do tego celu wykorzystać klasyczny serwer uwierzytelniania oparty na hasłach dynamicznych (np. ActivCard ActivPack) lub rozwiązanie oparte na kryptografii i certyfikatach cyfrowych (np. Entrust/PKI i etoken). Tokeny Aladdin etoken mogą oprócz kluczy i certyfikatów przechowywać statyczne hasła użytkowników VPN-1/FireWall-1. W przypadku stosowania VPN poziom takiego rozwiązania jest relatywnie wysoki, ponieważ hasło nie może być podsłuchane w sieci. Także użytkownik nie może łatwo ujawnić swojego hasła, gdyż go nie zna (tzn. hasło jest wbudowane w etoken). ActivCard ActivPack to klasyczny serwer mocnego uwierzytelniania użytkowników. Jest przeznaczony do wiarygodnego uwierzytelniania tożsamości użytkowników systemów informatycznych, dedykowany do zastosowań korporacyjnych oraz systemów o podwyższonych wymaganiach bezpieczeństwa (m.in. systemy rządowe, wojskowe, bankowe, finansowe, ecommerce). Użytkownicy udowadniają swoja tożsamość w systemie informatycznym za pomocą haseł jednokrotnego użycia, generowanych w specjalnych urządzeniach (m.in.. tokenach typu "kalkulatorek" lub "breloczek", kartach inteligentnych Smart Card, tokenach USB, urządzeniach biometrycznych) lub za pomocą specjalnego oprogramowania desktop-owego (tzw. tokenów programowych). Proces uwierzytelniania użytkownika przebiega w następującej kolejności: 1. Użytkownik w czasie próby dostępu do aplikacji uwierzytelnia swoją tożsamość za pomocą identyfikatora oraz hasła dynamicznego wygenerowanego w tokenie. 2. Urządzenie dostępowe (np. Firewall, ruter, RAS, serwer WWW) przekazuje dane użytkownika do zweryfikowania przez serwer ActivPack. 3. Serwer ActivPack weryfikuje dane identyfikacyjne użytkownika i informuje o tym urządzenie dostępowe. 4. Użytkownik uzyskuje dostęp do zasobów systemu informatycznego po pozytywnym uwierzytelnieniu swojej tożsamości i autoryzacji. 11
System uwierzytelnia ActivPack może także używać haseł statycznych oraz w razie potrzeby przekazywać zapytania do innych, istniejących w korporacji systemów uwierzytelnia m.in. logowanie w domenach Windows NT i Windows 2000, bazach LDAP i SQL oraz innych systemach RADIUS i TACACS+. Oprogramowanie ActivPack: ActivPack Authentication Server (moduł serwera i stacji zarządzającej) wraz z graficzną konsolą administratora GUI, tokeny programowe (tzn. program do generowania haseł dynamicznych), moduły wspierające komunikację z serwerami iplanet i Microsoft IIS, oprogramowanie klienckie usprawniające wykorzystanie kart Smart Card dla systemów Check Point VPN-1/FireWall-1 i Microsoft Windows NT RAS (tzn. użytkownik logując się wkłada tylko kartę do czytnika i wprowadza swój kod PIN), oprogramowanie Simple Sign-On umożliwiające całkowite zautomatyzowanie procesu logowania użytkowników do różnych systemów i aplikacji (np. podczas odbioru poczty Simple Sign-On samodzielnie odczytuje hasło z karty Smart Card i wprowadza je do klienta poczty). Sprzętowe elementy ActivPack (podstawowe): ActivCard Token One: tokeny generujące hasła dynamiczne, ActivCard Gold: karty inteligentne Smart Card, generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI (m.in. generowanie kluczy kryptograficznych, tworzenie podpisów cyfrowych, szyfrowanie tajnego klucza sesji), ActivCard ActivKey: tokeny USB o funkcjonalności Smart Card (tzn. generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI). ActivPack to technologia identyfikacji cyfrowej, zaprojektowana pod kątem zaspokojenia potrzeb użytkownika korporacyjnego (m.in. rozproszenie geograficzne, stała dostępność HA) oraz systemów o podwyższonych wymaganiach bezpieczeństwa. System dostarcza wsparcie dla zapewniania stabilnej, niezakłóconej pracy zabezpieczeń (serwery Backup) oraz uwierzytelniania użytkowników często zmieniających miejsce pracy (User Roaming). Produkt jest bardzo atrakcyjny cenowo w porównaniu do tej klasy konkurencyjnych rozwiązań. Cena serwera ActivPack dla 100 użytkowników wynosi 11324 Euro. Sprzętowy token ActivCard Token One kosztuje 42 Euro (czas życia 10 lat). W trakcie wyboru systemu uwierzytelniania należy brać pod uwagę produkty znajdujące się na liście Check Point OPSEC (http://www.checkpoint.com/opsec). 12
6. Bezpieczny dostęp do zasobów sieci korporacyjnej dla odległych użytkowników Zapewnienie bezpiecznego dostępu do zasobów systemu informatycznego przedsiębiorstwa z obszarów sieci zewnętrznych (Internet, inne oddziały firmy) może zostać w stosunkowo prosty sposób, bez ponoszenia dużych nakładów finansowych uzyskane za pomocą technologii VPN (Virtual Private Network). Skuteczna i efektywna ochrona informacji w sieciach komputerowych nie jest w praktyce możliwa bez zaangażowania odpowiednich narzędzi kryptograficznych. Za pomocą technik szyfrowania oraz tworzenia podpisów cyfrowych dane w sieci VPN zabezpiecza się w zakresie: poufności, autentyczności, integralności oraz niezaprzeczalności nadania. Koncepcja budowy sieci VPN polega na tworzeniu logicznych kanałów transmisji danych w ramach publicznej sieci rozległej, w których przesyłane dane zabezpiecza się zgodnie z przyjętą polityką bezpieczeństwa. Check Point oferuje także bardziej rozbudowaną funkcjonalnie wersję VPN znaną pod nazwą Secure Virtual Network (SVN), która również może być brana pod uwagę w trakcie dalszego rozwoju systemu bezpieczeństwa sieci przedsiębiorstwa. Technicznie, klasyczna sieć VPN realizuje: szyfrowanie danych, tunelowanie pakietów, kontrolę dostępu do węzłów sieci wirtualnej. Wyróżnia się trzy podstawowe architektury sieci VPN: Intranet VPN (wirtualna sieć prywatna pomiędzy lokalnymi i oddalonymi oddziałami korporacji), Remote Access VPN (wirtualna sieć prywatna pomiędzy korporacją i oddalonymi lub mobilnymi pracownikami) oraz Extranet VPN (wirtualna sieć prywatna pomiędzy korporacją i zaufanymi partnerami, klientami i dostawcami). W obecnej sytuacji najbardziej wartościowym zastosowaniem w przedsiębiorstwa wydaje się być architektura Remote Access VPN, zapewniająca bezpieczny dostęp do usług sieci prywatnej dla pracowników przebywających poza terenem instytucji (oraz w razie potrzeby zaufanych klientów i partnerów handlowych). 13
7. Zintegrowanie zabezpieczeń rutera Internet z systemem zaporowym FireWall-1 System bezpieczeństwa sieci komputerowej podłączonej do Internetu, bądź innej sieci o niskim poziomie zaufania powinien zawierać wiele warstw ochrony, które uzupełniają i ubezpieczają się wzajemnie. W systemach narażonych na niepożądane, świadome działanie wykwalifikowanych intuzów nie można opierać się tylko na jednaj, nawet najbardziej zaawansowanej warstwie zabezpieczeń. Zawsze może zdarzyć się, bowiem sytuacja, iż zabezpieczenie to zostanie błędnie skonfigurowane, czasowo wyłączone, bądź też ulegnie awarii. Z reguły w systemach o podwyższonych wymaganiach bezpieczeństwa stosowane są kaskadowe konfiguracje Firewall (złożone z dedykowanych maszyn Firewall Gateway lub/i Firewall wbudowanych w urządzenia sieciowe). Jeżeli sieć przedsiębiorstwa zawiera tylko jedną warstwę zabezpieczeń - Check Point FireWall-1 - zalecane jest jej wzmocnienie poprzez wdrożenie odpowiednich list kontroli dostępu ACL (Access Control List) na ruterze Internet. Nie będzie to wymagało dużych nakładów finansowych, ponieważ mechanizmy ACL są dostępne w Cisco i innych popularnych ruterach, a przyczyni się do znacznego wzmocnienia poziomu bezpieczeństwa. Szczególnie ze względów administracyjnych (m.in. możliwości zcentralizowanego zarządzanie i analizy zabezpieczeń sieci) zalecane jest zastosowanie narzędzi wspomagających, dostępnych na konsoli Check Point FireWall-1 (Open Security Extension). Narzędzia te pozwalają na graficzne definiowanie, weryfikowanie i instalowanie list ACL na ruterze. Dodatkowo zdarzenia rejestrowane na ruterze Internet mogą być na bieżąco przesyłane poprzez protokół Syslog do stacji zarządzającej i tam zapisywane w logu FireWall-1. 14
8. Zastosowanie narzędzi wspomagających analizę i raportowanie zdarzeń Analiza zdarzeń rejestrowanych w systemie Firewall należy do ważnych zadań personelu obsługi zabezpieczeń. Logi Firewall dostarczają wielu wartościowych informacji dotyczących funkcjonowania systemu dostępu do Internetu zarówno ze względów bezpieczeństwa jak i poprawności komunikacji. Logi Firewall umożliwiają m.in.: monitorowanie i wykrywanie działań niedozwolonych i podejrzanych (np. próby penetracji i włamań, ataki destrukcyjne DoS), analizowanie wykorzystania sieci (np. wyznaczanie usług o największym zapotrzebowaniu na pasmo, użytkowników najbardziej obciążających sieć, oszacowanie kosztów użytkowania sieci), identyfikowanie nieprawidłowo działających elementów sieci (np. niepoprawnie skonfigurowanego serwera DNS, mechanizmu NAT na ruterze, czy agenta SNMP). Polityka bezpieczeństwa z reguły wymaga prowadzenia dokładnej analizy zdarzeń, co dla sieci korporacyjnych, gdzie dzienny rozmiar logu może osiągnąć rozmiar kilku MB nie jest łatwe. W takich przypadkach jedynym rozwiązaniem jest zastosowanie odpowiednich narzędzi wspomagających. Zarządzanie logów obejmuje przedsięwzięcia związane z tworzeniem zasad rejestrowania zdarzeń (np. co powinno być zapisywane i w jakim zakresie) oraz bieżącej ich obsługi. Obsługa zdarzeń realizowana najczęściej przez administratorów Firewall sprowadza się do następujących czynności: analiza zarejestrowanych zdarzeń, tworzenie raportów i statystyk, kontrola dopuszczalnego rozmiaru logu, kontrola poprawności konfiguracji i funkcjonowania mechanizmów zapisu zdarzeń, archiwizowanie starych logów. Administrator FireWall-1 dysponuje w tym zakresie graficzną aplikacją Log Viewer, umożliwiającą sprawne przeglądanie, przeszukiwanie i sortowanie zapisów. Za pomocą Log Viewer można m.in. zidentyfikować próby włamań i penetracji sieci, ustalić najczęściej wykorzystywane serwery i usługi oraz dokonać rozliczenia poszczególnych użytkowników (tj. z jakich serwerów i usług korzystali, w jakim czasie to robili, jak dużo danych przesłali w sieci, jakie pliki kopiowali, itp.). Oprócz możliwości przeglądu zarejestrowanych zdarzeń, Log Viewer umożliwia także obserwowanie aktualnie otwartych połączeń sieciowych przechodzących przez Firewall. Jeżeli administrator zauważy, że określone połączenie nie jest zgodne z przyjętą polityką bezpieczeństwa to może je zabić i na wyznaczony czas zablokować dostęp komputerowi, który to niedozwolone połączenie zainicjował. Logi przeglądane w Log Viewer mogą zostać zapisane do pliku formatu ASCII i dalej przetwarzane za pomocą innych narzędzi (np. arkuszy kalkulacyjnych, aplikacji baz danych) lub przesyłane w czasie rzeczywistym do innych systemów poprzez protokół LEA (Log Export API). Poprzez protokół LEA logi FireWall-1 mogą być na bieżąco odbierane przez aplikacje WebTrends Firewall Suite. Pakiet WebTrends Firewall Suite (znany wcześniej pod nazwą WebTrends for Firewalls & VPNs) jest obecnie najbardziej renomowanym narzędziem w kategorii systemów wspomagania raportowania i analizy logów Firewall. Rozwiązanie to w czasie rzeczywistym obsługuje logi Check Point FireWall-1, tworząc na żądanie różnego rodzaju raporty i statystyki (graficzne, tekstowe, zagadnieniowe, itp.). 15
9. Zastosowanie narzędzi wspomagających wykonywanie audytów bezpieczeństwa Przedsięwzięcia polityki bezpieczeństwa związane z utrzymywaniem założonego poziomu ochrony systemu informatycznego wymagają stałego zaangażowania ze strony personelu obsługi zabezpieczeń. Z uwagi na dużą liczbę i czasochłonność związanych z tym zadań oraz ograniczone możliwości personelu (często posiadającego wiele innych zadań) konieczne staje się zautomatyzowanie podstawowych procesów obsługi zabezpieczeń. Jest to możliwe poprzez zastosowanie odpowiednio dobranych i przygotowanych (skonfigurowanych) narzędzi. Jednym z ważnych zadań personelu obsługi zabezpieczeń jest audyt bezpieczeństwa. Testy zabezpieczeń wykonuje się w celu sprawdzenia, czy spełnione są wszystkie wymogi określone w polityce bezpieczeństwa. W audytach bezpieczeństwa badana jest m.in. potencjalna możliwość ominięcia zabezpieczeń poprzez wykorzystanie błędów w założeniach projektowych, konfiguracji lub oprogramowaniu, jak również reakcja systemu w momencie wykrycia prób niepowołanego dostępu. Audyty bezpieczeństwa wykonuje się regularnie (np. 2 razy w miesiącu) oraz w razie zaistnienia takiej potrzeby (zmiana konfiguracji systemu, aktualizacja oprogramowania, podejrzenie o włamanie). Audyty bezpieczeństwa sieci korporacyjnych podłączonych do Internetu są wspomagane za pomocą profesjonalnych skanerów zabezpieczeń. Najbardziej renomowanym na rynku rozwiązaniem tej klasy jest ISS Internet Scanner. Koszt zakupu licencji dla 10 testowanych adresów IP wynosi 1099 Euro (oprogramowanie) oraz 220 Euro (roczna opieka). 16
10. Zarządzanie rozdziałem pasma sieci dla protokołów, użytkowników i usług System dostępu do Internetu sieci przedsiębiorstwa może zostać dodatkowo wyposażony w mechanizmy dynamicznego rozdziału pasma sieci, zapewniające prawidłowe działanie biznesowych aplikacji firmy, nawet w momentach dużego obciążenia sieci. Do tego celu najbardziej uzasadnione wydaje się zastosowanie produktu Check Point FloodGate-1, który zainstalowany na jednej maszynie z FireWall-1 będzie współdzielić tą samą, już zdefiniowaną bazę danych (tzn. zbiór zdefiniowanych obiektów sieciowych, itd.). Zarządzanie FireWall-1 i FloodGate-1 odbywa się z jednej, zintegrowanej konsoli zarządzającej GUI za pomocą dedykowanych protokołów (sesje zabezpieczone kryptograficznie). Pewne ograniczenie skutków przeciążenia sieci można także uzyskać poprzez zastosowanie mechanizmów kolejkowania pakietów na ruterze Cisco. Jest to jednak rozwiązanie mało elastyczne i nieefektywne. Rutery nie mogą zapewnić optymalnego wykorzystania przepustowości sieci, ponieważ nie rozumieją ruchu sieciowego (np. nie umieją odróżnić tekstu od grafiki przesyłanej w ramach WWW, itp.) i nie potrafią analizować pakietów danych w kontekście całości komunikacji sieciowej. Rozdział pasma sieci realizowany przez FloodGate-1 odbywa się wewnątrz jądra systemu operacyjnego Windows NT na poziomie warstw łącza danych i sieci (warstwy 2 i 3 modelu OSI), powodując znikome opóźnienia transferu danych (tzn. <2ms w nieobciążonej sieci). Zastosowanie mechanizmu RDED (Retransmission Detection Early Drop) może znacząco poprawić wydajność funkcjonowania systemu dostępu do Internetu w stanach przeciążenia sieci. Mechanizm RDED wykrywa i blokuje nadmiarowe retransmisje strumieni TCP (tzn. odrzuca retransmitowane pakiety, których kopie znajdują się w kolejce). Polityka zarządzania przepływem danych w sieci zdefiniowana za pomocą FloodGate-1 składa się z hierarchicznego zbioru reguł. Każda reguła może obejmować następujące ustalenia:! dane identyfikujące połączenia sieciowe: - rodzaj usługi (protokół, URL, itp.), - klient i serwer usługi (komputery, sieci, domeny), - kierunek przepływu danych,! sposób przydziału pasma sieci dla połączeń: - waga połączenia (szerokość pasma sieci przydzielona dla określonego połączenia zmienia się dynamicznie w zależności od wartości wag wszystkich aktualnie otwartych połączeń), - gwarantowana szerokość pasma sieci, - limit przydziału pasma sieci, - inne ustalenia. Stacja zarządzająca systemu jest wyposażona w mechanizmy szczegółowego monitorowania komunikacji sieciowej, za pomocą których administrator może w czasie rzeczywistym analizować stan komunikacji i obciążenia sieci, a w razie potrzeby na bieżąco modyfikować zasady przydziału pasma pomiędzy protokoły, aplikacje i użytkowników. 17
11. Ochrona systemu zabezpieczeń Firewall przed awariami sprzętowymi i programowymi Zapewnienie stałej dostępności usług systemu informatycznego jest ważnym kryterium bezpieczeństwa, mającym w wielu instytucjach duże znacznie, często bardziej istotne od pozostałych kryteriów: poufności, autentyczności, integralności, czy niezaprzeczalności działania. Dostępność usług systemu informatycznego podłączonego do sieci Internet zależy od wielu różnych czynników (np. urządzeń sieciowych, łącz transmisyjnych, systemów zabezpieczeń). Z uwagi na specyfikę środowiska Internet, szczególnie istotnym elementem mającym wpływ na dostępność systemu są środki bezpieczeństwa zastosowane do ochrony serwerów usług przed niepożądanym działaniem złośliwych użytkowników Internetu, potocznie nazywanych hakerami. Podstawowym elementem zabezpieczeń sieciowych odpowiedzialnym za odpieranie tego typu ataków jest system zaporowy Firewall. Ważne jest, więc aby Firewall posiadał środki zabezpieczające go przed awariami sprzętowymi i programowymi. Konfiguracje systemów Firewall zawierające mechanizmy ochrony przed awariami określane są terminem High Availability (HA). W konfiguracji HA system zaporowy składa się z dwóch lub więcej maszyn Firewall, które kontrolują się wzajemnie i w razie wystąpienia awarii przejmują zadania uszkodzonej maszyny bez utraty otwartych połączeń sieciowych. Wchodzące w skład HA maszyny Firewall są odpowiednio ze sobą zsynchronizowane oraz w większości konfiguracji posiadają także mechanizmy wykrywania awarii i automatycznego przejmowania zadań uszkodzonej maszyny. W instytucjach korzystających, bądź planujących wykorzystanie połączeń VPN zalecane jest, aby wersja VPN-1/FireWall-1 4.0 została poddana procedurze Upgrade do obecnej wersji Check Point 2000. Wersja ta posiada znacznie większe możliwości w zakresie ochrony połączeń VPN oraz jest łatwiejsza w konfiguracji i utrzymaniu. W instytucjach, które oprócz niezawodnego połączenia z Internet (tzn. Firewall odpornego na awarie) wymagają także dużej przepustowości tego połączenia zalecane jest zastosowanie StoneBeat FullCluster for FireWall-1. Oprogramowanie StoneBeat FullCluster posiada możliwości budowania klastrów złożonych z wielu maszyn FireWall-1, które dynamicznie równoważą pomiędzy sobą obciążenie sieci. Klaster FireWall-1 oparty na StoneBeat FullCluster widziany jest w sieci jako jedno urządzenie (jeden IP) i dzięki temu nie ma komplikacji w konfiguracji rutingu. Zbudowanie klastra FireWall-1 z wykorzystaniem tego oprogramowani nie wymaga żadnych dodatkowych urządzeń. W razie potrzeby do klastra FireWall-1 można dołożyć nową maszynę bez konieczności rekonfiguracji pozostałych Firewall. Zaproponowana technologia StoneBeat charakteryzuje się dużą efektywnością i niezawodnością. Zastosowanie modułu StoneBeat nie jest jednak konieczne. Dla przykładu konfiguracja z współdzieleniem obciążenia sieci load sharing może zostać wdrożona tylko za pomocą FireWall-1, który posiada wbudowane mechanizmy synchronizacji. Dla instytucji, które decydują się na wdrożenie konwencjonalnej konfiguracji hot stand-by (jedna maszyna aktywna i jedna zapasowa), Check Point w najnowszej wersji VPN-1/FireWall-1 zaproponował własną, pełnowartościową implementację HA w postaci modułu High Availability. Dużą zaletą tego rozwiązania jest to, iż narzędzia do zarządzania tego modułu są zintegrowana z innymi narzędziami dostępnymi w konsoli zarządzania VPN- 1/FireWall-1 Management Console GUI. Koszt wdrożenia HA w przedsiębiorstwie będzie zależał od przyjętej architektury oraz produktów wybranych do jej wdrożenia. Dla architektury HA w konfiguracji z dynamicznym równoważeniem obciążenia sieci ( load balancing ) należy wziąć pod uwagę koszt zakupu pakietu StoneBeat FullCluster oraz koszt zakupu licencji na drugi moduł VPN-1/FireWall-1 (oraz oczywiście koszt zakupu drugiej maszyny dla Firewall). 18
12. Uwierzytelnianie tożsamości użytkowników w trybie jednokrotnego logowania Single Sign On Utrzymywanie w systemie zabezpieczeń Firewall odrębnej bazy danych dla użytkowników poddawanych uwierzytelnianiu w czasie dostępu do usług Internetu jest czasochłonne i często nieuzasadnione, jeżeli baza ta już istnieje na serwerach w sieci prywatnej. W sieci przedsiębiorstwa baza użytkowników systemu informatycznego jest utrzymywana na serwerach Windows NT. Istnieje możliwość zintegrowania systemu Windows NT z Check Point FireWall-1 poprzez zastosowanie pakietu Check Point Meta IP. W takiej konfiguracji użytkownik zalogowany w domenie NT nie musi drugi raz podawać hasła na FireWall-1 w momencie wyjścia do Internet (jeżeli oczywiście zdefiniowana na Firewall polityka bezpieczeństwa mu na to pozwala). Co najważniejsze ww. konfiguracja nie wymaga definiowania bazy użytkowników na FireWall-1, co jest dużym usprawnieniem pracy administratorów systemu. Poniższy rysunek przedstawia koncepcję takiego rozwiązania. System składa się z następujących komponentów: Meta IP Manager centralna stacja zarządzania (zainstalowana na maszynie Windows NT) wyposażona w bazę danych UAM, udzielająca informacji na temat zalogowanych użytkowników sieci dla innych systemów (np. FireWall-1), UAT moduł zainstalowany na kontrolerze domeny NT odpowiedzialny na przekazywanie do Meta IP Manager informacji na temat zalogowanych i wylogowanych użytkowników, Meta IP DHCP serwer DHCP (zainstalowany na maszynie Windows NT) przekazujący do Meta IP Manager informacje na temat przydzielonych i zwolnionych adresów IP. Więcej technicznych szczegółów dotyczących instalacji mechanizmów Single Sign On w FireWall-1 i Windows NT można znaleźć na CD instalacyjnym FireWall-1 4.1. 19
13. Ochrona kryptograficzna i PKI W środowisku rozległych sieci komputerowych nie jest możliwe efektywne zarządzanie systemów kryptograficznych bez wdrożenia infrastruktury klucza publicznego Public Key Infrastructure (PKI). Kluczową rolę w PKI pełni Urząd Certyfikacji (ang. certificate authority), odpowiedzialny za wydawanie i unieważnianie certyfikatów cyfrowych. Jedną z najbardziej renomowanych technologii PKI na świecie jest Entrust/PKI. Rozwiązanie to umożliwia budowę zarządzalnej infrastruktury klucza publicznego dla rozwiązań typu secure e- bussiness w ramach intranetu, extranetu i Internetu (zarówno zastosowań klasy B2B i B2C). Infrastruktura Entrust/PKI składa się w wersji podstawowej z: Entrust/Authority - spełniający rolę CA (Certification Authority) umożliwiającego automatyczne zarządzanie kluczami i certyfikatami, generowanie i wydawanie kluczy publicznych zgodnie ze standardem X.509, tworzenia i dokonywanie kopii bezpieczeństwa kluczy szyfrujących użytkowników i wymuszanie polityki bezpieczeństwa organizacji. Entrust/Entelligence - oprogramowanie klienckie pozwalające użytkownikom na pełne wykorzystanie zalet bezpieczeństwa bez potrzeby rozumienia złożoności kryptografii klucza publicznego. Niewidocznie integrując się ze środowiskiem Windows dostarcza usług bezpieczeństwa dla wszystkich aplikacji zgodnych ze specyfikacją Entrust-Ready. Ponadto dostępne są różnorodne opcjonalne rozszerzenia/"łączniki" podnoszące bezpieczeństwo wykorzystywanej infrastruktury. Możliwe jest również wbudowanie" bezpieczeństwa do aplikacji nie potrafiących skorzystać z możliwości pakietu Entrust/Entelligence z użyciem dostępnych bezpłatnie bibliotek programowych. Dostępne łączniki to: Entrust/VPN Connector - służący do dystrybucji certyfikatów do urządzeń VPN takich jak: routery, gatewaye, firewalle i aplikacje wspierające standardy IPSec i IKE (Internet Key Exchange). Entrust/Web Connector - służący do dystrybucji certyfikatów uwierzytelniających komunikację pomiędzy aplikacjami wykorzystującymi przeglądarki WWW a serwerami Webowymi z użyciem protokołów SSL, S/MIME i aplikacji podpisujących" obiekty. Wspierane są aplikacje takich producentów jak Microsoft i Netscape oraz większość serwerów Webowych, zezwalając na zapewnienie bezpieczeństwa bez dodatkowego oprogramowania po stronie klienta. Entrust/ComerceCA - centrum służące do przyznawania i zarządzania certyfikatami SET (Secure Electronic Transaction) zgodnie ze standardem SET 1.0. Produkt umożliwia np. dokonywanie bezpiecznych płatności w Internecie z wykorzystaniem kart kredytowych. Entrust/Enterprise Desktop Suite - zestaw bezpiecznych rozwiązań do zastosowań typu Desktop integrujących się z oferowaną przez Entrust infrastrukturą klucza publicznego. Obejmuje zabezpieczenie poczty elektronicznej, przetwarzania tekstu, przeglądania stron Webowych, arkuszy kalkulacyjnych, prezentacji i zarządzania danymi, itp. Zestaw zawiera Entrust/Express for Microsoft Exchange and Microsoft Outlook, Entrust/Direct, Entrust/Unity, Entrust/ICE oraz Entrust/ TrueDelete. Entrust/Express - bezpieczne rozwiązanie dla poczty elektronicznej umożliwiające przeźroczystą ochronę dla użytkowników Microsoft Exchange, Microsoft Outlook, QUALCOMM Eudora Pro Email oraz Lotus Notes. Zintegrowane z rodzimym klientem pocztowym Entrust/Express rozwiązanie pozwala na bezpieczną wymianę korespondencji elektronicznej przez jej zabezpieczenie na każdym etapie. Wspiera standard S/MIME oferując wysoki poziom zabezpieczeń wiadomości w odniesieniu do poufności, integralności i autentyfikacji nadawcy. 20