Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Obecnie znakomita większość firm wykorzystujących technologie teleinformatyczne do prowadzenia biznesu, stosuje w swoich infrastrukturach narzędzia zapewniające bezpieczeństwo graniczne sieci. Praktyka pokazuje jednak, iż w większości przypadk�w zabezpieczenia sieci funkcjonujące na zasadzie kontroli dostępu – firewalle sieciowe -okazują się niewystarczające dla skutecznego zapobiegania zagrożeniom poziomu aplikacyjnego. 80% firm ankietowanych w 2003 roku przez Yankee Group wskazała na wirusy oraz robaki internetowe jako najczęstsze przyczyny występowania incydent�w powodujących istotne zagrożenia bezpieczeństwa swoich zasob�w (proste ataki sieciowe typu DoS były wskazane przez 40% ankietowanych firm1). Badania firmy Meta Group z tego samego roku pokazują, iż 66% ankietowanych firm ucierpiało na skutek wewnętrznych atak�w sieciowych, a tylko od 10% do 20% organizacji uznawało wtedy kwestię bezpieczeństwa wewnętrznego za istotną.

Rysunek 1 - Typowe miejsca wdrożeń systemu IPS na przykładzie InterSpect™

1 Ankietowani mogli wskazać wiele typ�w zagrożeń jednocześnie

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

� 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Wyniki tych badań jasno pokazują, iż większość zagrożeń dla zasob�w informatycznych w chwili obecnej stanowią ataki poziomu aplikacyjnego oraz, że definitywnie minęły czasy jasnego podziału pomiędzy „złą” siecią zewnętrzną i niegroźną siecią wewnętrzną. Pełnowartościowy system bezpieczeństwa powinien zapewniać (opr�cz typowych funkcji zabezpieczeń takich jak kontrola dostępu, szyfrowanie ruchu sieciowego, uwierzytelnienie użytkownik�w, kontrola zawartości, itp.) zar�wno skuteczną ochronę przed atakami prowadzonymi w warstwie aplikacyjnej jak i uniemożliwiać rozprzestrzenianie się zagrożeń od wnętrza sieci.

Za skuteczne systemy zabezpieczeń przed atakami poziomu aplikacji uznaje się obecnie systemu klasy IPS (Intrusion Prevention System), dla kt�rych wymagania w zakresie realizowanych funkcji r�żnią się znacząco od wymagań stawianych systemom kontroli dostępu. Gros wymagań stawianych systemom IPS wynika m.in. z faktu, iż są to systemy dedykowane do zastosowań w sieciach wewnętrznych.

Poniższa tabel ilustruje r�żnice pomiędzy wymaganiami stawianymi systemom funkcjonującym na granicach sieci oraz systemom dedykowanym do pracy w sieciach wewnętrznych.

Bezpieczeństwo graniczne Bezpieczeństwo wewnętrzne

Środowisko aplikacyjne

Standardowe aplikacje, Aplikacje klient-server, Duży stopień zgodności ze

standardami dla wykorzystywanych protokoł�w,

Zazwyczaj centralnie koordynowane aspekty bezpieczeństwa

Aplikacje własne, Aplikacje klient-klient, Niewysoki stopień zgodności

ze standardami protokoł�w, Brak centralnej koordynacji

aspekt�w bezpieczeństwa

Polityka bezpieczeństwa

„Blokuj wszystko, co nie jest jawnie dozwolone”

„Zezwalaj na wszystko, co nie jest jawnie zabronione”

Priorytet działania 1.Bezpieczeństwo.2.Brak wpływu na „normalną”

pracę sieci.

1.Brak wpływu na „normalną” pracę sieci.

2.Bezpieczeństwo.Protokoły w sieci LAN Mogą być blokowane Muszą być dozwolone

Miejsce wdrożenia Gł�wne systemy brzegowe sieci,

Użytkownicy zdalni

Segment sieci wewnętrznej Każda stacja robocza

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

� 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Czołowym przedstawicielem rynku w segmencie system�w IPS jest system InterSpect™ firmy Check Point. Do podstawowych cech systemu InterSpect™ należą:

Blokowanie atak�w pochodzących z wnętrza sieci, Zapobieganie rozprzestrzenianiu się znanych i nieznanych robak�w internetowych

(brak ograniczeń spotykanych w innych systemach stosujących wyłącznie metody wykrywania oparte o sygnatury),

Segmentacja sieci na strefy bezpieczeństwa, Zaawansowane możliwości kwarantanny, Możliwość elastycznego doboru platformy sprzętowej, Wsparcie dla warstwowej architektury zabezpieczeń.

Wykorzystując technologię Application Inteligence (stosowaną r�wnież w systemach Firewall-1/VPN-1 firmy Check Point) system InterSpect™ zapewnia głęboką inspekcję większości popularnych protokoł�w, stosowanych szczeg�lnie w sieciach wewnętrznych, m.in.:

Microsoft RPC, CIFS, MS SQL, MS DCOM, DCOM, Sun RPC, DCE RPC, HTTP.

W celu zapewnienia skutecznej ochrony przed atakami systemy IPS (dedykowane do działania w trybie in-line) muszą zostać umiejscowione pomiędzy chronionym systemem a potencjalnym źr�dłem zagrożenia. Rysunek nr 1 przedstawia typowy scenariusz wdrożenia systemu klasy IPS na przykładzie systemu InterSpect™.

Oczywistym jest, że sieciowe systemy IPS nie są w stanie skutecznie zapobiegać atakom lub rozprzestrzenianiu się robak�w zachodzącym w obrębie tej samej podsieci. Wymagało by to takiego wdrożenia systemu IPS, w kt�rym każda stacja końcowa stanowi wydzieloną strefę bezpieczeństwa podłączoną do dedykowanego interfejsu systemu IPS. Jest to w praktyce nie realizowalne, zar�wno z powodu ograniczeń sprzętowych tych system�w (ilość interfejs�w) jak i potencjalnych koszt�w takiego wdrożenia, kt�re w większości zastosowań (gdyby były technicznie realizowalne) przekroczyłyby wielokrotnie wartość chronionych zasob�w.

Skuteczna ochrona pojedynczych stacji roboczych wymaga zastosowania centralnie zarządzanego systemu klasy „personal firewall” posiadającego wbudowaną funkcjonalność typowego firewalla aplikacyjnego, firewalla „sieciowego”2 oraz tzw. host-based IPS. Centralne zarządzanie konfiguracją system�w personal firewall umożliwia, opr�cz zapewnienia bezpieczeństwa stacji końcowej przed zagrożeniami sieciowymi, wymuszanie zgodności użytkownik�w z założoną w organizacji polityką bezpieczeństwa (m.in.korzystanie wyłącznie z dozwolonych przez politykę bezpieczeństwa aplikacji, włącznie z weryfikacją aktualności wersji oprogramowania).

2 W odniesieniu do system�w „personal firewall” termin firewall sieciowy oznacza możliwość definiowania typowych, sieciowych reguł kontroli dostępu (choć w odniesieniu do pojedynczego węzłą sieciowego) w odr�żnieniu od typowych reguł firewalla desktopowego kontrolującego uprawnienia do uruchamiania aplikacji.

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

� 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Po akwizycji firmy Zone Labs w portfolio produkt�w Check Point znalazł doskonały produkt klasy „endpoint security” - oprogramowanie Integrity – służące zapewnieniu kompleksowej, centralnie zarządzanej ochrony pojedynczych stacji końcowych.

W chwili obecnej Check Point jest jedynym producentem na rynku, kt�rego produkt klasy IPS – InetrSpect™ umożliwia integrację z systemami bezpieczeństwa węzł�w końcowych typu personal firewall – oprogramowaniem Integrity. Wsp�łpraca InterSpect™ z Inegrity umożliwia wymuszanie sieciowych oraz desktopowych polityk bezpieczeństwa w odniesieniu do pojedynczej stacji roboczej w sieci. Konfiguracja taka umożliwia stworzenie kompleksowej, warstwowej ochrony sieci wewnętrznych zapewniającej zgodność każdej stacji końcowej z korporacyjną polityką bezpieczeństwa oraz możliwość blokowania ruchu sieciowego pochodzącego od stacji roboczych nie spełniających reguł polityki bezpieczeństwa. Ilustrację idei wsp�lnego funkcjonowania w sieciach wewnętrznych przedstawia rysunek nr 2.

Wsp�łpraca InterSpect™ z Integrity polega na tym, iż po poprawnym skonfigurowaniu, InterSpect™ każdorazowo weryfikuje, czy na stacji końcowej żądającej dostępu do sieci uruchomione zostało oprogramowanie klienta Integrity oraz czy stacja posiada aktualne polityki bezpieczeństwa zadane z centralnego serwera Integrity .

Istnieje r�wnież możliwość definiowania stacji „zaufanych”, kt�re mogą uzyskiwać dostęp do zasob�w sieciowych zlokalizowanych poza własnym segmentem sieci nawet w przypadku braku uruchomionego oprogramowania Integrity.

Rysunek 2 - Wsp�łdziałanie system�w klasy IPS oraz desktop firewall na przykładzie produkt�w Check Point

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

� 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Dodatkowo dla poszczeg�lnych kategorii zdarzeń związanych ze stanem stacji końcowej w odniesieniu do oprogramowania Integrity istnieje możliwość zdefiniowania jednej z trzech akcji podejmowanej przez InetrSpect™ („bypass”, „inspekt” lub „block”). Ilustrację sposobu centralnego zarządzania warstwowym bezpieczeństwem w sieciach wewnętrznych w oparciu o produkty Check Point InterSpect™ oraz CheckPoint Integrity przedstawiono na rysunku nr 3.

Rysunek 3 - Zarządzanie zintegrowanym bezpieczeństwem warstwy sieciowej oraz węzł�w końcowych

Radosław Wal, CCSE