na przykładzie SofaWare Security Management Portal Jak przy pomocy małej wielkości i tanich urządzeń szybko wdrożyć skuteczne instalacje zabezpieczeń u wielu klientów: małych, średnich i korporacyjnych, sterując nimi zdalnie i wkładając w ten proces niewiele wysiłku organizacyjnego i finansowego? Odpowiedź jest prosta zastosować do tego celu wielofunkcyjne urządzenia sieci i zabezpieczeń oraz wdrożyć dla nich system centralnego zarządzania. W artykule opisane zostały techniczne zasady funkcjonowania rozwiązania dedykowanego do takich zastosować, które dostarcza Check Point Software Technologies. Miniaturowego rozmiaru, wielozadaniowe urządzenia SofaWare S-Box łączą w sobie funkcje sieciowe (router, switch 10/100 ETH, NAT, serwer/klient DHCP) oraz zaawansowane funkcje zabezpieczeń (Firewall, VPN klient-sieć, VPN sieć-sieć, AntiVirus, URL Filtering). Urządzenia S-Box zastosowane przez oddziały korporacji, małe firmy, tele-pracowników oraz użytkowników indywidualnych, nawet w ilości wielu tysięcy mogą być centralnie zarządzane za pomocą SofaWare Security Management Portal (SMP). Można wyróżnić dwa podstawowe scenariusze wdrożenia SMP: 1. Usługi hostingowe dla operatorów telekomunikacyjnych, którzy chcieliby sprzedać konfigurację i zarządzanie zdalnymi i prostymi Firewall-ami u klientów w małych oraz średnich przedsiębiorstwach, oraz u odbiorców prywatnych. Rys 1) Usługi hostingowe świadczone przez Dostawcę Usług Bezpieczeństwa
2. Dla korporacji, które chciałyby w łatwy sposób i przy minimalnych kosztach zabezpieczyć odległe oddziały i tele-pracowników za pomocą małych urządzeń, które łatwo integrują się z innymi produktami i instalacjami zabezpieczeń Check Point. Rys 2) Centrum monitorowanie i zarządzania zabezpieczeń sieci korporacji, odległych oddziałów oraz tele-pracowników W czasach gdy struktury sieciowe rozwijają się lawinowo, przykład pracy SMP pokazuje jak łatwo przy pomocy silnego oprogramowania i przeglądarki webowej można zarządzać bezpieczeństwem sieci globalnej. Oprogramowanie SMP służy do zarządzania dziesiątkami, setkami i większą ilością urządzeń typu S-box (SofaWare S-box, Intrusion PDS 500, Nokia IP30, Celestix FV100, Flextronics Maxx-1, VPN Dynamics V4). Do podstawowych właściwości urządzeń S-Box można zaliczyć: 1. Dostęp do sieci dla komputerów PC (m.in. automatyczna konfiguracja parametrów sieciowych komputerów poprzez DHCP, translacja adresów NAT). 2. Ochrona komputerów przed zagrożeniami z Internetu (kontrola Firewall, blokowanie ataków DoS). 3. Ochrona danych przesyłanych do innych sieci (VPN). 4. Ochrona zdalnego dostępu z obszaru Internetu (VPN typu klient-sieć). 5. Dodatkowe funkcje bezpieczeństwa (AntiVirus, URL Filtering).
Urządzenia SofaWare Safe@ dostępne są w trzech odmianach (licencjach): Safe@Home - ochrona Firewall dla biurowych i domowych sieci przed atakami z Internetu, Safe@Home Pro ochrona jak powyżej plus bezpieczne połączenie VPN dla małych firm i domowych biur z placówką macierzystą (klient VPN-1 SecuRemote), Safe@Office - właściwości jak powyżej plus możliwości VPN typu sieć-sieć. Rys 3) Wielozadaniowe urządzenia SofaWare S-box Technologia SofaWare oparta jest na architekturze rozproszonej, w której centralne zarządzanie nieograniczonej liczby urządzeń zabezpieczeń S-Box odbywa się za pomocą skalowalnej, odpornej na awarie macierzy Serwerów Sterujących (SofaWare Management Server, SMS) oraz narzędzi służących do zarządzania i konfiguracji, takich jak Centrum Zarządzania SofaWare (SofaWare Management Center, SMC). Rys 4) Architektura SofaWare Management Portal
SMP łatwo integruje się z serwerem zarządzającym Check Point VPN-1/FireWall-1 w wersji Next Generation (SmartCenter Server). Warunkiem instalowania na urządzeniach S-Box polityk bezpieczeństwa za pomocą serwera zarządzającego Check Point jest doinstalowanie na nim kompatybilności wstecznej z wersją 4.1 oraz specjalnego konektora SofaWare SmartCenter Safe@ Connector, który umożliwia tworzenie profili obsługujących urządzenia S-box. Naczelnymi właściwościami SMP jest ścisła integracja z dwoma rodzajami serwerów LDAP - Microsoft Active Directory lub iplanet. SMP jest konfigurowalny za pomocą przeglądarki webowej, która łączy się bezpośrednio ze stronami generowanymi przez SofaWare Management Center (SMC) za pośrednictwem serwera webowego Apache. Rys 5) Schemat pracy SofaWare Management Center
W kategorii serwerów sterujących SMS można tworzyć grupy tych serwerów w podziale na ich możliwości integracji z zewnętrznymi serwerami OPSEC, które zapewniają możliwość filtrowania URL w ruchu HTTP oraz kontroli antywirusowej w ruchu SMTP i POP3. Integracja z zewnętrznymi serwerami OPSEC następuje poprzez połączenie nie-uwierzytelnione lub uwierzytelnione w zależności od wymagań konfiguracji bezpieczeństwa środowiska sieciowego. Przykładowymi serwerami OPSEC współpracującymi z SMS są SuperScout Web Filter for Check Point FireWall-1 firmy SurfControl (UFP), czy InterScan VirusWall firmy Trend Micro (CVP). Jest to jednak realizowane inaczej jak w Check Point FireWall-1. Z serwerami UFP i CVP bezpośrednio komunikują się wbudowane w SMS wewnętrznie moduły o nazwach CVM (Content Vectoring Module) i UFM (URL Filtering Module). Rys 6) Integracja SMS z zewnętrzną aplikacją OPSEC typu URL Filtering Server Rys 7) Integracja SMS z zewnętrzną aplikacją OPSEC typu Antivirus Server
Poza wspomnianymi modułami UFM i CVM należącymi do SMS można konfigurować pracę innych wbudowanych wewnętrznie modułów takich jak: Event Logging Module (ELM), Load Balancing Module (LBM), czy Gateway Provisioning Module (GPM). ELM jest modułem wysyłającym dzienniki zdarzeń (logi) do wyspecyfikowanych wcześniej miejsc przeznaczenia: serwera Syslog, serwera ELA (Event Logging API), czy do Event Log systemu Windows. Moduł LBM realizuje obsługę równoważenia obciążeń SMS. Jeżeli urządzenie S-Box wykryje, że któryś z SMS nie odpowiada na zgłoszenia obsługi wówczas LBM przełącza go do działającego lub mniej obciążonego serwera SMS. GPM dostarcza użytkownikom S-box infrastrukturę dystrybucji plików konfiguracyjnych i uaktualnień oprogramowania. Dla grup SMS można tworzyć Plany zawierające takie istotne elementy konfiguracji urządzeń S-box jak polityki, interfejsy użytkownika oraz firmware. Plan jest bowiem zestawem konfiguracyjnym, który narzuca ustawienia urządzenia S-Box. Polityka bezpieczeństwa wczytywana jest z serwera zarządzającego Check Point w formie pliku *.tgz stworzonego przez ten serwer po weryfikacji i kompilacji polityki za pomocą standardowych narzędzi SmartDashboard. Można też stosować politykę typu embedded, co nie oznacza stosowania konkretnej zewnętrznej skompilowanej polityki, tylko oznacza instalację filtrów pakietów, skonfigurowanych lokalnie na urządzeniu końcowym typu S-box (z wyjątkiem narzuconych przez plan kontroli zawartości czy kontroli antywirusowej poczty, co można ustawić niezależnie od polityki bezpieczeństwa). Bramka (Gateway) jest elementem konfiguracji, która reprezentuje w strukturze SMP urządzenie końcowe typu S-box. SMS po konfiguracji bramki może wymuszać na wskazanym urządzeniu S-box uaktualnienia konfiguracji i oprogramowania. Operację uaktualnienia może również przeprowadzić administrator S-box uprzednio logując się w programie konfiguracyjnym S-box i wykorzystując połączenie z SMS. Komunikacja pomiędzy SMS i S-box identyfikowana jest adresem MAC lub przy pomocy wygenerowanego przez SMC klucza rejestracyjnego. Bramka może wczytywać takie profilowe dane z planów jak nazwa grupy SMS, czas ważności synchronizacji pomiędzy SMS i S-box, usługi takie jak uaktualnienia firmware, stosowanie filtrowania zawartości URL, stosowanie ochrony antywirusowej poczty. Bramka może również wczytywać bezpośrednio polityki bezpieczeństwa z serwera zarządzającego Check Point (SmartCenter Server). Ważnym elementem licencjonowania S-box jest umieszczanie w danych konfiguracyjnych bramki informacji zawierającej klucz produktu. Ta właściwość umożliwia administratorom SMC zmianę licencji urządzeń S-box na odległość. SMP stanowi bardzo silne narzędzie dla dostawców usług bezpieczeństwa i korporacji, za pomocą którego mogą zarządzać z powodzeniem setkami lub nawet tysiącami odległych urządzeń Firewall/VPN i instalować na nich wyrafinowane polityki bezpieczeństwa. Dodatkowe informacje można uzyskać na stronie: http://www.clico.pl/software/checkpoint/html/sofaware.html Piotr Misiowiec