TrustPort Certification Authority

Transkript

1 TrustPort Certification Authority AEC, spol. s r.o. Výraz Public Key Infrastructure (PKI), volně přeloženo, si můžeme vyložit jako správu veřejných klíčů. Systém PKI si lze zjednodušeně představit jako databázi veřejných klíčů (certifikátů), která je vybavena řadou dalších nástrojů pro jejich efektivní správu. Tento systém zahrnuje jak digitální certifikáty, které představují záruku identity v elektronickém prostředí (např. na internetu), a aplikace v nichž je lze využít, tak i certifikační a registrační autority (poskytovatelé certifikačních služeb). V oblasti realizace PKI dosud nebyl stanoven žádný závazný standard, ovšem některé jeho části normování podléhají. Realizace jednotlivých existujících systémů vychází z konkrétních potřeb uživatelů a případných dílčích norem a doporučení. Je mnoho způsobů a prostředků, s jejichž pomocí lze budovat účinný systém PKI. Jedním z nich jsou řešení dodávaná společností AEC. Tato studie popisuje základní vlastnosti AEC PKI Solution, které představuje komplexní modulární systém postavený na základě dlouholetých zkušeností v oblasti kryptografie a implementace elektronického (digitálního) podpisu do praxe. Řešení se skládá ze tří základních prvků: PKI Software Development Kit (PKI SDK); TrustPort Certification Authority & Registration Authority (TP CA&RA); TimeStamp Authority (TSA). PKI SDK představuje základní technologický nástroj, který slouží k vývoji nových nebo úpravě existujících aplikací postavených na bázi AEC PKI SDK. V podstatě je složen z několika statických a dynamických knihoven, které představují kompletní sadu modulů potřebných pro vytvořeních moderních PKI aplikací. TP CA&RA vychází z modulární struktury AEC PKI. Zjednodušeně řečeno představuje systém tzv. on-line CA, který zajišťuje zpracování dodané žádosti o certifikát, vystavení samotného certifikátu (podepsání veřejného klíče) a CRL (Certificate Revocation List) - seznamu odvolaných certifikátů. Samotná certifikační autorita (CA) je doplněna o tzv. registrační autoritu (RA), jmenný server a LDAP server. Pomocí těchto nástrojů se přijímají a kontrolují žádosti o certifikáty a zveřejňují databáze vydaných certifikátů a CRL. TSA je volitelný modul, kterým můžeme doplnit řešení certifikační autority (on-line CA). Zajišťuje vydávání tzv. časových razítek, která představují ověření času, kdy došlo k určité události vystavení certifikátu, vytvoření digitálního podpisu apod. 1 Základní vlastnosti certifikační autority Certifikační autorita (CA) jako důvěryhodná třetí strana spojuje veřejný klíč s uživatelem a ozřejmuje autenticitu uživatele. CA vydává na základě obdržené žádosti uživatele jeho digitální certifikát.význam CA spočívá především v její důvěryhodnosti. Samotná certifikační autorita dále využívá služeb registrační autority, která pro ni zpracovává žádosti o vydání certifikátů a slouží pro komunikaci se žadateli. Existují různé úrovně digitálních certifikátů, od prakticky nulové důvěryhodnosti self-signed certifikátu až po certifikáty ověřené certifikační autoritou, kde je tato zajištěna hardwarovými a softwarovými prostředky a zdokumentovanými postupy používanými při vydávání digitálních certifikátů. Certifikační autorita podepisuje a vydává certifikáty, odvolává je v případě potřeby a podepisuje a vydává CRL (Certificate Revocation List). Registrační autorita (RA) přijímá žádosti o certifikáty od uživatelů, zpracovává je a předává CA ke zpracování (podepsání) a evidenci certifikátů. Ručí za správnost obsahu žádostí ve smyslu ověření identifikace žadatelů a jednoznačnosti vydaného certifikátu. Name Server (NS) slouží k přidělování DN (Distinguish Name), a tím také k vyloučení duplicity DN při zpracovávání žádostí o certifikáty. LDAP server slouží k vyhledávání platných a odvolaných certifikátů. Tuto službu je možné realizovat také pomocí web rozhraní. Součástí řešení je také auditní systém a rovněž archivace, Security and Protection of Information

2 tj. uchovávání certifikátů s ukončenou platností. Skládají se z části ze zabudovaných softwarových prostředků, z části z politiky a administrativních opatření v místě klienta. Dokumentační základna zahrnuje popisy procesů a činností prováděných v rámci celé struktury CA. Základními dokumenty jsou CPS (Certification Practice Statement) a CP (Certification Policy). Celé řešení je modulární, strukturované a opírá se o využití mezinárodních norem, není však neměnné a je možno jej v průběhu času přizpůsobovat měnícím se potřebám zákazníka díky modulární koncepci tohoto systému. 1.1 Služba zřízení CA Zřízení certifikační autority spolu s registrační autoritou představuje komplexní dodávku produktů a služeb včetně zajištění podpory a rozvoje, jmenovitě: dodávku software, jeho implementaci, dodávku organizačních a prováděcích předpisů a jejich zavedení, vyškolení odborných pracovníků. 2 Řešení TrustPort CA Řešení certifikační autority TrustPort vychází z modulární stavby AEC PKI. Celý komplex je složen z několika klíčových modulů. Jádrem systému je on-line CA server, který zabezpečuje fyzické zpracování (podepisování) žádostí o certifikát (certificate requests), CRL nebo vydání časové značky. Jeden server on-line CA může hostovat několik nezávislých virtuálních certifikačních autorit (podepisovacích strojů), které jsou procesně zcela izolovány a mají i své vlastní PKI úložiště. Každý virtuální stroj může být nakonfigurován individuálně. Výběr podpisového klíče může být prováděn v závislosti na algoritmu a/nebo použití veřejného klíče ze žádosti o vydání certifikátu. Další omezení mohou být nastavena pomocí tzv. filtrů, které omezují vytvoření určitých položek (např. rozšíření o další údaje) v certifikátech nebo CRL. Klíčové páry jednotlivých virtuálních certifikačních autorit jsou spravovány pomocí modulu PKI Storage Manager. Vlastní klíče mohou být uloženy jak v lokálních úložištích na pevném disku, tak i v externích hardwarových zařízeních (jako jsou USB tokeny nebo čipové karty). Řešení je doplněno o tzv. RA-CA server, který obsahuje databázi sloužící jako úložiště žádostí o certifikáty (requests), modifikací, vydaných certifikátů, CRL a jmenný server. Jedná se o webový server s aplikační logikou pro autentizaci RA úředníků, administraci a práci s webovými stránkami registrační autority. Výhodou tohoto řešení je mobilita jednotlivých pracovišť registrační autority. V podstatě není vyžadován žádný speciální klientský SW a řešení vystačí s webovým prohlížečem podporujícím SSL/TSL. Rozhraní RA/CA lze jednoduše přizpůsobit podle individuálního přání zákazníka. To je umožněno díky použité technologii AEC Forms, která dovoluje měnit grafické rozhraní a zobrazované položky bez zásahu do programového kódu aplikační logiky. Certifikáty jsou standardně přístupny pomocí webového rozhraní s vyhledávací službou. Další možnost přístupu do databáze vydaných certifikátů je pomocí adresářových služeb protokolu LDAP. Jde o speciální AEC LDAP bránu (gateway), která zprostředkovává dotazy LDAP klientů a převádí je na vyhledávací dotazy v databázovém úložišti certifikátů. Jak již bylo uvedeno, několik RA-CA (virtuálních certifikačních autorit) se může odvolávat na jedinou on-line CA, kde jsou pro ně vytvořeny samostatné virtuální podepisovací stroje. Volná kapacita podepisovacího stroje tak může být využita pro různé další subjekty, které již pak hostují pouze databázový server (úložiště certifikátů) a registrační autoritu. Normovaný formát dat: akceptované žádosti o certifikát : PKCS#10 certifikáty, CRL: X.509, ver Security and Protection of Information 2003

3 V případě, kdy je PKI klient schopen do žádosti o vystavení certifikátu zadat pouze omezenou množinu položek vyžadovaných provozovatelem, lze tyto údaje dynamicky doplňovat přímo na registrační autoritě. Lze potom bez problému vydávat certifikáty, které jsou v souladu s formátem X.509, RFC 2459, popřípadě i kvalifikované certifikáty podle RFC TimeStamp Authority TSA je volitelný modul pro on-line CA server. Opět může běžet na jednom on-line CA serveru několik podepisovacích TSA strojů s izolovaným PKI. Této vlastnosti lze využít v tzv. corporate instalaci společně s CA. Pro menší a střední firmy, které nechtějí provozovat RA/CA, mohou instalovat TSA v stand-alone módu. Součástí TSA je i TimeServer (TS), který kromě dalších funkcí také dodává přesný čas a zjišťuje případné odchylky od času systémového. TimeServer může získávat přesný čas ze zařízení GPS (Global Positioning System), které ze satelitů přijímá mimo jiné i časové věty. Další možností je pak signál DCF šířený z vysílače DCF77 v Mainflingenu na dlouhých vlnách s kmitočtem 77,5 khz. Dosah vysílače je zhruba 2000 km. Pokud provozovateli nevyhovuje ani jeden z těchto způsobů, může spustit TimeServer s tzv. validací RTC systémových hodin, přičemž musí zabezpečit jejich synchronizaci jiným způsobem. Řešení TSA vychází z RFC 3161 a doporučení ETSI (European Telecommunications Standards Institute). Spojení potřebné pro komunikaci mezi klientem TS a TSA je vytvářeno pomocí protokolu HTTP. Na cestě mezi klientem a on-line CA je zařazena speciální HTTP brána (gateway), která filtruje a formálně kontroluje žádosti o časová razítka a zajišťuje, aby se do on-line CA dostávaly pouze správné žádosti a nedocházelo ke zbytečnému zatěžování podepisovacího stroje. Mezi další výhody použití této brány patří i kontrola stavu a indikace nefungující on-line CA apod. TSA musí vydávat svá časová razítka podle zveřejněné politiky. Identifikátor politiky (OID) lze pro každou TSA individuálně nastavit. Jako klientskou aplikaci lze využít např. TrustMail, jinou aplikaci vytvořenou pomocí AEC PKI SDK nebo některou další vycházející z uvedené normy. Security and Protection of Information

4 224 Security and Protection of Information 2003

5 Cisco Systems a IPv6 Jaroslav Martan, Systems Engineer, Cisco Systems Cisco Systems (Czech Republic) s.r.o. V Celnici 10, Praha 1, Internet nové generace IPv6 je základem Internetu nové generace. Těžko se ale dočkáme toho, že budou internety dva starý založený na IPv4 a nový na IPv6. Jak je vidět z dosavadního vývoje 6Bone ( a dalších projektů, IPv6 se postupně stane součástí stávajího Internetu a to tak, že některé jeho části budou současně podporovat oba protokoly, některé zůstanou pouze na IPv4 a ty, u kterých to jinak nepůjde, budou založené pouze na IPv6. Při vývoji IPv6 byl kladen důraz na postupnou migraci a vzájemnou komunikaci s IPv4. Existuje tedy několik metod od současné práce s oběma protokoly na koncovém počítači (a automatické volby podle toho, jakým chce komunikovat druhá strana) přes tunelování jednoho protokolu v druhém (IPv6 v IPv4 i naopak) po překlad mezi protokoly uvnitř sítě (tzv. NAT-PT Network Address Translation Protocol Translation). Těžko říct, zda je pro úspěch IPv6 důležitější stabilní podpora protokolu v operačních systémech a aplikacích (podstatné je uvědomit si, že samotná podpora v operačním systému ještě neznamená automatické fungování všech aplikací nad IPv6) nebo v síťových prvcích, tj. především ve směrovačích a firewallech. Nejdůležitější ale asi bude, zda se najdou sítě, které se bez IPv6 skutečně neobejdou. V IPv4 se postupně podařilo vyřešit hlavní problémy, kvůli kterým původně došlo k vývoji IPv6 nedostatek adres byl celkem uspokojivě vyřešen pomocí překladu adres (NAT Network Address Translation), šifrování pomocí IPSec, mobilita funguje i na IPv4. Dnes to vypadá, že se bez IPv6 neobejdou především mobilní sítě třetí generace, tzv. UMTS, a zařízení, kterých může Naprostá většina Internetu a podnikových sítí je vybudována na směrovačích Cisco Systems, tento výrobce proto věnuje podpoře IPv6 velkou pozornost: aktivně se podílí na vývoji standardu v rámci IETF ( je zakládajícím členem IPv6 fóra ( podporuje řadu projektů, které se snaží uvést IPv6 do běžné praxe (v rámci EU se jedná např. o 6Net - a spolupracuje s akademickou komunitou (v rámci ČR je to Cesnet) a mobilními operátory, pro které je podpora IPv6 důležitá především pro sítě třetí generace. Již několik let byla volně k dispozici testovací verze operačního systému IOS (Internetwork Operating System) a od verze 12.2T je IPv6 oficiálně podporován v rámci tzv. Plus vlastností. Samotná implementace funkcí je rozdělena do tří fází, momentálně jsou hotové první dvě, třetí bude dokončena postupně v první polovině roku Asi nemá smysl rozebírat jednotlivé funkce, podstatné je, že podpora IPv6 jde bez rodílu celou řadou směrovačů Cisco od nejmenších řady 1600 po výkonné páteřní prvky GSR. Podporovány jsou běžné směrovací protokoly, filtrace i doplňující funkce jako je tunelování, přenos přes MPLS nebo překlad mezi oběma protokoly. Více informací o implementaci a aktivitách Cisco Systems v oblasti IPv6 najdete na adrese Security and Protection of Information

6 2 Síťové produkty od firmy Cisco Systems Výstavba datových sítí je poměrně široká problematika a stejně tak je široká i nabídka jednotlivých produktů firmy Cisco Systems. Společnost se zabývá vývojem, výrobou a prodejem produktů a řešení mimo jiné i v následujících oblastech: Směrovače pro všechny možnosti nasazení. Od nejmenších modelů, určených pro domácí použití (typicky pro připojení k síti Internet), přes modely pro podnikové WAN sítě, až po vysoce výkonné směrovače používané právě v páteři Internetu. Obrázek 1. Řada Cisco 7200, 3700, 2600, 1700 LAN přepínače pro nejrůznější použití. Pro menší sítě v provedení s pevnou konfigurací, pro velké sítě jako modulární šasi. V závislosti podle modelu a použité konfigurace mohou pracovat na 2. až 7. vrstvě OSI modelu. Obrázek 2. Cisco Catalyst Security and Protection of Information 2003

7 IP telefonie a přenos hlasu IP protokolem. Jedná se o perspektivní, rozvíjející se technologii sjednocující infrastrukturu pro přenos hlasu a dat. Spojení těchto dvou typů komunikačních kanálů dává vzniknout novým aplikacím, například Kontaktním centrům. Centrům pro jednotnou obsluhu zákazníků prostřednictvím hlasových i datových způsobů komunikace. Obrázek 3. Cisco IP telefony 7960, 7910, 7940 (7960 na obrázku) Řešení pro bezpečnost sítí. Týká se zejména produktové řady firewallů a firewallových funkcí ve směrovačích, systémů pro detekci napadení sítě (Intrusion Detection System) a zařízení pro vytváření virtuálních privátních sítí (VPN) na bázi zabezpečení IPSec pro propojení vzdálených lokalit nebo i vzdálený přístup jednotlivých uživatelů. Bezdrátové sítě. Technologie pro připojení koncových stanic do LAN sítě s umožněním jejich snadné mobility a propojování jednotlivých LAN sítí navzájem. Kvůli neomezenému šíření radiového signálu jsou nedílnou součástí vysoce propracované mechanismy zabezpečení komunikace. Obrázek 4. Cisco Aironet 1200 Oblast optických sítí se týká zejména systémů multiplexu signálů různých vlnových délek (Dense Wave Division Multiplex) pro zvýšení kapacity přenosových tras a propojování zařízení pro hromadné ukládání dat. Pro Storage Area Network jsou k dispozici FibreChannel přepínače i technologie pro propojování SAN sítí a připojování SCSI zařízení pomocí IP protokolu. Content Networking se zabývá problematikou distribuce velkých datových souborů s minimálním vlivem na provoz sítě a jejich poskytování uživateli s co nejmenší časovou prodlevou. Současně řeší i problematiku budování datových center, zejména inteligentní rozkládání zátěže mezi servery. Distribuce videa po IP protokolu, ať již v reálném čase, nebo přehrávání z archívu (Video on Demand). Součástí jsou i zařízení pro vytváření videokonferencí. Security and Protection of Information

8 228 Security and Protection of Information 2003

9 Security Management envision firmy Network Inteligence Petr Růžička CORE COMPUTER, spol. s r.o. Olbrachtova 3, Praha 4 Každý, kdo se již snažil zjistit, co přesně se děje na jeho firewallu, se určitě setkal s problematikou zpracování logů. Logy jsou nejčastěji zasílány na externí stroj (nechceme aby se firewall zahltil vlastními logy, popř. Přepsal v rámci sebeobrany starší záznamy), kde jsou shromažďovány, archivovány a pokud možno kontrolovány. V případě firewallu je nutné jej nejen správně nakonfigurovat, ale také ho mít pod neustálou kontrolou, a to v reálném čase. Kromě reportování a analýz potřebujeme zjistit například, zda určitá IP adresa nezkusila včera otevřít další port na našem serveru. Praxe ukazuje, že řada firem sice události loguje, nicméně z praktických důvodů již není v lidských silách tyto logy analyzovat. Vždyť například jeden Cisco PIX firewall na 10Base-T je schopen generovat až 1125 událostí za vteřinu! Obecně tedy potřebujeme: zaznamenat událost příjem i z více zařízení. Důležitý je výkon, tj. kolik zpráv je systém schopen přijmout (tzv. EPS, Events Per Second). Téměř celý počítačový svět používá pro logování syslog založený na protokolu UDP (nepotvrzovaný způsob). Pokud by byl logovací systém přetížen, událost se ztratí. zpracovat událost ta je poté uložena do databáze pro další analýzy. Potřebná je korelace např. mezi tím, co zaznamenal hraniční router, firewall, tři IDS sondy (každá od jiného výrobce), DNS server, a potom třeba Windows servery. zpřístupnit archivované události reporty pro management, grafy využívání služeb. Firma CORE Computer se specializuje jak na oblast managementu sítí, tak i bezpečnosti. Rozšíření portfolia o vhodný nástroj kategorie Security Managementu byl proto logickým krokem. Při hledání optimálního produktu jsme našli skutečně vynikající řešení - zpracování security událostí pomocí nástrojů řady envision firmy Network Intelligence ( envision je dodáván primárně jako appliance, tj. box, který připojíte do sítě, přidělíte mu IP adresu a zadáte zařízením, aby na něj posílala logy. V závislosti na potřebách jsou jednotlivé boxy dimenzovány ve škále od 500 do 6000 EPS, přičemž tato čísla znamenají nejen přijetí, ale i zpracování události. Pro uživatele, kteří potřebují vyšší výkon, existuje i řada LS, která je schopna zpracovávat řádově stovky tisíc EPS. envision byl od počátku zaměřen na bezpečnost celé řady produktů hlavních hráčů na poli bezpečnosti, síťové infrastruktury a serverových řešení. Namátkou firewally (PIX, Checkpoint, Netscreen, SonicWall), IDS (Cisco, IIS Real Secure, Entercept, Snort), zařízení pro VPN, síťové přepínače, Win W2k/XP a další. PIX firewall na lince 1,5 Mbps je schopen generovat až 150 EPS (cca 23 KB/s, měsíčně 14 GB). To jsou horní meze, ale systém na ně musíme dimenzovat. A co teprve, když máme 1 firewall, 3 routery, 1 IDS a 4 Windows servery Modely envision appliance, obsahují až 1.2 TB diskového prostoru (v případě LS je kapacita teoreticky neomezená). Technologie envision navíc dokáže uchovávat data v poměru 1:0.7 (1 kb logů = 0.7 kb v databázi). V databázi je možné vyhledávat a porovnávat, vytvářet reporty, grafy, tabulky a prohlížet je přímo nebo je exportovat na web server. envision obsahuje propracovaný korelační nástroj pracující v reálném čase i zpětně. Můžeme tedy vytvořit např. definici typu: pokud firewall zaznamenal odmítnutý paket z neznámé adresy a zároveň do 10 minut naše vnější IDS zjistilo, že se ta samá neznámá adresa pokusila o výpis zóny z našeho DNS, a během tří hodin IDS zjistilo útok typu buffer overflow na náš web server a během dvou hodin se na našem Windows serveru objevilo Security and Protection of Information

10 5 pokusů o přihlášení, z toho 4 během 10 vteřin a zároveň se náš router restartoval, tak pošli alert. Fantazii se meze nekladou. Použití archivovaných záznamů nám poslouží nejen pro dokazování útoků, ale i pro doložení bezúhonnosti, například: Tato IP adresa, tento konkrétní zaměstnanec udělal v tuto dobu určitou věc., nebo Naše síť se v tento čas na žádném DoS útoku nepodílela. Rostoucí zájem o dodávky systému do finančnictví, státní správy i dalších oblastí kritických na bezpečnost nás v CORE Computer přesvědčuje, že jsme zvolili správný produkt.) 230 Security and Protection of Information 2003

11 Encryption for all needs Lars Moldal Ericsson / Kongsberg Defence Communications AS 1 Introduction Kongsberg Defence Communications AS (KDC) and Ericsson, s.r.o. provide reliable and secure communication for high-speed data and voice. Our communication and encryption products are supplied to various governments and defense forces as well as to NATO and NATO countries. The Crypto department has close to 40 years of experience in developing, producing and marketing Crypto solutions, in close co-operation with the Norwegian security authorities. 2 IP encryption for inter LAN communication and stand alone computers KDC Secure Network Architecture includes the products EnGuard, NX20X0 and the administration system. These products together offer complete security for business critical information EnGuard secures communication and storing of sensitive information at home, for the travel office, regional offices or partners. The NX20X0 secures all types of communication between the local network of companies and organisations. Together these products cover the need for secure data communication. The architecture can be scaled to suit all sizes of businesses. Information is secured against insight with full end-to-end encryption. Digital signatures are used to protect the integrity and authentication of the sender. 2.1 NX20X0 IP encryption unit NX20X0 provides high security IP-communication between geographically separated local networks (LAN) over public networks or leased lines. The high performance NX20X0 secures all IP based traffic, and supports higher level protocols. 2.2 General The NX2070 unit resides between the local network and existing access routers/modems. All IP traffic from the LAN towards the access router/modem and WAN is encrypted. The encryption is transparent to the users and all WAN-type technologies can be used. The NX2070 unit allows for exposing a single address to external networks, hiding private addresses and in effect providing NAT functionality in addition to securing confidentiality, integrity and authentication of all traffic. The NX2070 is developed in co-operation with Norwegian security authorities (NSM). Security and Protection of Information

12 2.3 Functionality All IP traffic is encrypted according to the IPSec ESP specification. This means that both data and the original IP header are encrypted, and only the addresses of the NX2070 endpoints are available in plaintext. All other network information is hidden. An encrypted checksum is generated for each encrypted datagram. This protects against any attempt to change the contents of the datagram. Access-control for access to encrypted communication is based on the network addresses of the sender and the receiver. Authentication of incoming encrypted data is based on cryptographic methods. 2.4 Services Encrypts and authenticates all traffic sent on an unsecured network. Transparent network accesses for users (no need for logging on, or password). Excellent for securing IP-telephony. Secures sensitive videoconferences (tested with equipment from leading manufacturers/suppliers). Can be used with all types of access interfaces (ISDN-routers/modems, Frame Relay, FDDI, ATM, satellite-connections, etc). The unit is not sensitive to delays. 2.5 Administration A powerful administration centre is available for NX2070, offering functionality for key generation, administration and distribution. In addition, access rules and unit configuration is handled by the management centre. Encryption key material, profiles and rules are initially distributed on smartcard and diskette. Later distribution of information is handled online from the management centre. 3 EnGuard. Security solutions for stationary and portable PCs EnGuard offers secure storage and communication of sensitive data. The equipment is aimed at users who require secure handling of sensitive information from their home office PC, portable PC or similar installations. 3.1 General EnGuard provides secure access to vital resources such as , Intranet, file-servers and databases while out of office, and at the same time ensures that locally stored information is protected against theft or unauthorized access. EnGuard offers encrypted net-access to the office network (Intranet) and to networks of business partners (extranet). In addition, encryption of all sensitive information stored on the computer hard disk and diskettes, and encryption and signing of is offered. The equipment operates both in networks secured with EnGuard units and in networks secured by a combination of EnGuard and NX 2000 units. 3.2 Approval EnGuard is developed in co-operation with Norwegian security authorities (NSM) and satisfies governmental requirements for equipment used to handle RESTRICTED information. 232 Security and Protection of Information 2003

13 3.3 Platform Stationary or portable PC with Windows 2000 operating system and USB-port Compatible with programs using Microsoft Windows 2000 encryption interface Can be used with all TCP/IP-based network connections 3.4 Services Secure net access: Accesses all types of network services securely through encrypted TCP/IPcommunication. File/folder encryption: Encryption of single files, all files of a type and complete folders. The user / administrator indicates what is to be encrypted using simple rules. For all other aspects encryption is transparent. encryption and authentication: with or without attachments are encrypted and digital signatures are attached through the standard interface of the program. Secure file allocation: Files can be transparently shared on the file server, either as encrypted files, or as plain text files over an encrypted connection, or a combination of both. 3.5 Administration Encryption key material profiles and rules for distribution on smart cards from an operational centre. Later electronically from an operational centre, or locally configured. For smaller networks a PC-based key generation centre can be used. For larger systems combining EnGuard and NX20X0 the Amazin administration system is used. 3.6 Network architecture The following drawing shows some different possible network configurations using NX20X0 and/or EnGuard. LAN LAN Administration PSTN or Internet Mobile office Home office Mobile office 4 CAUTOR, Secure Communication System The system was primarily developed to secure communication between the Ministry of Foreign Affairs and the respective Embassies and Consulates. The combined on-line/off-line mode of operation facilitates painless interfacing to any information carrier from Internet to HF-Radio systems. Security and Protection of Information

14 The system is protecting all diplomatic communication between the Ministry of Foreign Affairs and the respective Embassies and Consulates. In addition the system is used by other governmental organizations. Kongsberg Defence Communications in close cooperation with the Norwegian Chief of Defense, Security Staff, has developed Cautor. Cautor has been approved to handle classified information at all national levels. Cautor can utilize any means of electronic communication from HF-radio to Satellite or Internet as the communication carrier. 4.1 General The Cautor system consists of two main elements. The actual communication system found at all embassies and in the communication room of the Ministry of Foreign Affairs, this consist of the following subcomponents: The NORDCODER. The encryption device handling encryption and decryption of all messages. The Red PC. This PC handles all plaintext. The Black PC. This PC is responsible for the communication between the Ministry of Foreign Affairs and the Embassies and Consulates. 4.2 CAUTOR system overview The Nordcoder is the special purpose encryption device developed specifically for the Cautor system. The Nordcoder encrypts all traffic leaving the Embassy or the Ministry of Foreign Affairs. Likewise the Nordcoder decrypts all traffic entering the Embassy or the Ministry of Foreign Affairs. The Nordcoder forms the barrier between the secure (Red) side of the system, handling classified information and black side of the system handling only encrypted information. The encryption algorithm used is the NATO approved EINRIDE or the AES algorithm. MFA Communication HQ London Black PC Nordcoder Red PC Red PC Nordcoder Black PC Paris Red PC Key generation and administration Black PC Nordcoder Red PC Rome Master Key Generation Traffic Key Generation Nordcoder Black PC Black PC Nordcoder Red PC 234 Security and Protection of Information 2003

15 The Nordcoder is mainly controlled from the Red PC. The only control functions found on the encryption device are Power Control and Key and Smart Card Erase. Unencrypted (Red) keys are loaded directly into Nordcoder. The Nordcoder is connected to the Red and the Black PCs by means of standard fiber optic cable. The Red PC handles all classified (Red) information. Extensive logging is built into the system. Incoming and outgoing traffic are logged in the traffic logs. All security relevant incidents are logged in the event log. Three different categories of users are defined: The Administrator with all rights The Crypto Custodian who can load new key material The User who can only send and receive messages and observes the logs. Plain text may be entered directly into like application or in an attachment. Attached files can be of any type, which the PC is equipped to handle. Specifically the system contains an interface to a standard scanner and printer and can thus be used as a replacement for secure fax. The Red PC application contains software that performs loss-less compression of the messages before encryption, thus saving transmission time. The Black PC handles the encrypted information. Again extensive logging is built into the system. Incoming and outgoing encrypted traffic is logged in the traffic logs and all relevant incidents are logged in the event log. The Black PC application is equipped with an interface towards various systems. Cautor messages are then sent automatically from an Embassy to the Ministry of Foreign Affairs or visa versa. As an alternative, any encrypted Cautor message can be stored in a specific catalog on the Black PC for later transmission and/or adaption to to selected communication carrier. Visa versa, the Black application automatically picks up any incoming Cautor message from another specified catalog. 4.3 Key management To produce the necessary key material Cautor are taking use of the following equipment: The master key production system is an isolated standalone PC- based system producing the plaintext master keys needed in the Cautor system. These keys are distributed on smart cards. The traffic key production system is an on-line PC-based system producing and distributing encrypted traffic keys. 4.4 Top secret message terminal, PACE Pace provides rapid and secure message exchange between originator and addressee over unprotected telephone or radio links PACE is ruggedized and is suitable for desktop or field use. Battery powered, the unit is self-contained with keyboard for input and display for output. Connection to a personal computer is also an option. PACE is SECAN approved up to level Top Secret. Security and Protection of Information

16 236 Security and Protection of Information 2003

17 Místo poradenské firmy při ochraně utajovaných skutečností Ing. Miroslav Fryšar F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a.s. Místo poradenské firmy při ochraně utajovaných skutečností a metodický význam standardu ochrany utajovaných skutečností pro obecnou bezpečnost Na problematiku činnosti poradenských firem v oboru ochrany utajovaných skutečností (dále jen OUS) lze pohlížet ze dvou pozic (mimo vlastní pohled poradenské firmy), a to z následujících: 1. subjektu, který oblast hodlá nebo musí řešit (ať už začátečníka, či s jistými zkušenostmi); 2. orgánů státní správy, které jsou dohledem nad OUS tzv. povinovány. Pokusme se tedy místo poradenské firmy přiblížit z obou pohledů. Zájemce o problematiku OUS záhy zjistí, že OUS je v ČR k dnešnímu datu vymezena právní normou, a to zákonem č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, v současnosti ve znění 10 novel a jeho prováděcích vyhlášek (8), dvěma nařízeními vlády, bezpečnostními standardy Národního bezpečnostního úřadu (dále jen NBÚ) objektové (fyzické) bezpečnosti a metodickými pokyny NBÚ na internetu. Dalšími zdroji informací mohou být více, či méně zdařilé publikace na dané téma a samozřejmě I praktické zkušenosti, těch, kteří s danou problematikou přišli do styku. Shromáždění a prostudování zmíněných dokumentů a informací je tedy logickým krokem takového subjektu a nezbytnou podmínkou pro realizaci záměru, např. záměru statutárního orgánu organizace podat žádost k NBÚ o vydání potvrzení. Potud většinou žádný problém nevzniká. Ten se však ohlásí vzápětí, když teprve subjekt začne potřebné dokumenty tvořit a postupně zjišťovat, že jejich struktura, rozsah a odborná náplň značně převyšuje jeho současné časové a kvalifikační schopnosti a možnosti. Nabízí se samozřejmě celá řada alternativních řešení vzniklého problému. Jednou z nich a ne, jak se ze zkušenosti ukazuje, zanedbatelnou, je přizvat na pomoc někoho, kdo může pomoci. Ten někdo může být firma poradenská v příslušném oboru činnosti. Smluvní angažování této firmy uvolní zmíněnému subjektu bezesporu ruce k činnostem, jež jsou skutečným předmětem jeho podnikatelských aktivit. Firma provede analýzu stávajícího stavu OUS u subjektu, přihlédne ke specifickým podmínkám, navrhne a po odsouhlasení zrealizuje vše, co je třeba, aby věc zdárně proběhla až do finále. V rámci toho stačí přiměřeně proškolit příslušné osoby, aplikovat do podmínek organizace požadovaný rozsah jednotlivých prostředků OUS, vypracovat sekundární interní směrnice, vybudovat bezpečnostní vědomí u zaměstnanců a tím i nemálo přispět k rozšíření úrovně obecné bezpečnosti u organizace. Organizace takto připravená v rovině zpracování podkladových materiálů nemá zpravidla problémy s komunikací s pracovníky NBÚ a získání potvrzení je už jen otázkou času. Samozřejmostí by ale mělo být u takové kooperace, že poradenská firma je sama nositelem potvrzení NBÚ, disponuje vysoce kvalifikovanými a zkušenými odborníky v oblastech prostředků OUS a je nezávislá na dodavatelích bezpečnostních služeb a technologií. Je ideální, pokud by ještě měla certifikát systému managementu jakosti v oblasti poskytovaného bezpečnostního poradenství. Jen těžko lze potom diskutovat o kvalifikačních předpokladech a dispozicích pro požadované služby. Že tedy poradenské firmy vznikly a existují, je pouze přirozená reakce trhu na vzniklou situaci, která je navíc poznamenaná jistou nerovnováhou a diskriminací privátního sektoru v oblasti OUS. Filozofie stávající právní normy není nakloněna utajovaným skutečnostem v kombinaci s privátním subjektem. Privátní subjekt musí pro to, aby se mohl jen seznámit s nějakou utajovanou skutečností, vykonat nesrovnatelně více, než orgán státní správy, event. samosprávy, nehledě na skutečnost, že časový horizont získání tolik potřebného potvrzení od doby, kdy zahájí činnost k tomu směřující, se pohybuje řádově v rocích bez jakékoliv možnosti tuto, blíže neohraničenou, lhůtu ovlivnit. Při vědomí této situace není třeba privátnímu subjektu navíc riskovat oddálení Security and Protection of Information

18 vydání potvrzení neúplným zpracováním předkládaných dokumentů, či nedostatečnou implementací bezpečnostních opatření. V čem spatřujeme výhody odborné spolupráce s poradenskou firmou: možnost rozhodnutí, které činnosti bude řešit subjekt sám a které zadá poradenské firmě, návrh systému ochrany utajovaných skutečností není závislý na realizačních firmách, tím jsou do značné míry eliminovány jejich komerční zájmy včetně negativního dopadu do nákladových položek, profesionální posouzení bezpečnostních rizik, eliminace chyb v instalaci technického zabezpečení, nejde pouze o zpracování dokumentů, ale i jejich implementaci do systému organizace (úřadu), úspora nákladů na vlastní zaměstnance při zpracování jednorázových časově náročných úkolů, osoba pověřená statutárním orgánem ochranou utajovaných skutečností není odkázána pouze na vlastní zkušenosti, ale může čerpat ze zkušeností poradenské firmy a stane se tak postupně uznávaným odborníkem, možnost ověření funkčnosti systému ochrany utajovaných skutečností nezávislým subjektem s potvrzením NBÚ dle 62 odst. 1 zákona, zajišťování servisní a auditní činnosti náročné na čas a pracovníky prověřené externím dodavatelem (dokumentace objektové bezpečnosti, bezpečnost IS), zajišťování školení organizací, která zná problematiku subjektu. Přestože kooperace poradenské firmy se soukromými subjekty je četnější než s orgány státní správy a samosprávy, zůstává dosti prostoru i pro efektivní spolupráci s těmito institucemi. Jde především o zpracování dokumentů v oblasti administrativní, personální, objektové a technické bezpečnosti. Větší prostor se zde rovněž nabízí v oblasti bezpečnosti informačních systémů, jak nakonec vyplývá i z hlavního tématu konference. Dokumentaci objektové bezpečnosti, která splňuje veškeré požadavky platné legislativy a zároveň představuje podrobný návod, jak skutečně účinně využívat opatření objektové bezpečnosti, není schopen zpracovat každý. Pro dokumentaci důležitých a rozsáhlých objektů to platí dvojnásob, optimální řešení představuje spojení místních znalostí zaměstnanců objednatele se zkušenostmi specialistů poradenské firmy nebo resortních specialistů. Pro přehled o rozsahu a požadavcích na zpracování dokumentace Vám může například posloužit metodika na stránkách NBÚ SR U bezpečnostních dokumentací informačních systémů jsou požadavky na úroveň zpracování ještě vyšší a proces zpracování dokumentace mnohem složitější. V praxi jde o několik verzí dokumentace a etap připomínek NBÚ. Specialisté informační bezpečnosti F.S.C. dokáží aplikovat požadované standardy do textu dokumentace, ale současně i garantovat fyzickou realizaci nastavení bezpečnostních opatření. Komplexní dodávku zahrnuje nejen zpracování dokumentace, ale i nastavení bezpečnostních parametrů informačního systému, školení bezpečnostního správce, uživatelů a zajišťování pravidelného ověřování bezpečnostních parametrů auditní a servisní činnosti. Specifickou činností poradenské firmy na poli OUS je provádění externích bezpečnostních auditů třetí stranou, o jejichž prospěšnosti Vám mohou podat informace klienti společnosti F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a s., u kterých je tento produkt pravidelně realizován. Pohled na takovou poradenskou firmu z úhlu pozice např. ústředního správního úřadu, který vykonává dohled nad OUS v tomto státě, může být však i poněkud odlišný. V některých případech slyšíme i názor, že poradenské firmy dělají za úplatu to, co dělá NBÚ zdarma. Vyskytly se i případy, kdy byly subjekty řešící OUS nabádány k nedůvěře k poradenským firmám. Zde je na místě především zdůraznit, že ne každý subjekt, který nabízí zpracování dokumentace k OUS, je poradenskou firmou. A jen velmi málo z nich disponuje potvrzením NBÚ. Některé pokusy o tzv. poradenství, tak znehodnocují názor na poradenské firmy obecně. Podle našeho názoru může být poradenská firma, pro NBÚ i systém OUS, v řadě hledisek prospěšná. Například ověřování shody zpracované dokumentace s realizací opatření OUS před dohlídkou NBÚ má nejen metodický význam pro klienta, ale rovněž snižuje časovou náročnost na práci pracovníků NBÚ. Obdobný význam mají i námi realizovaná školení v oblasti OUS. 238 Security and Protection of Information 2003

19 V některých zemích NATO poradenské firmy na základě pověření NBÚ zajišťují specializované úkony v oblasti objektové bezpečnosti, informační bezpečnosti a certifikací bezpečnostních systémů. Z pohledu ochrany utajovaných skutečností musí být poradenská firma chápána jako kterýkoli jiný subjekt, který je držitelem platného potvrzení NBÚ v oblasti průmyslové bezpečnosti. V následující části se zaměříme na zhodnocení metodického významu standardu OUS pro obecnou bezpečnost. Stručně lze říci, že existence stávajícího právního vymezení OUS v ČR je jednoznačným pozitivem i pro obecnou bezpečnost. Důvod je jednoduchý. Neexistence ucelené metodologie pro řešení této oblasti. Pokud bychom rozparcelovali obecnou bezpečnost, tak se dostaneme k jednotlivým prostředkům a oblastem, ze kterých se skládá a lehce zjistíme, že k většině z nich nenalezneme žádnou metodiku, způsob zabezpečení, či minimální standard. Před přijetím zákona č. 148/1998 Sb. existovala vlastně pouze jediná výjimka, a to bezpečnost informačních systémů. Jistým pokusem zajistit minimální bezpečnostní standard pro oblast technické a objektové bezpečnosti je existence technických norem pro instalaci, servis a parametry používaných technických prostředků. Z pohledu znalosti výše popsané skutečnosti je přístup k řešení OUS, popsaný v zákoně č. 148/1998 Sb. A zejména v jeho prováděcích předpisech a standardech, jednoznačným krokem vřed. To platí dvojnásob z pohledu metodologického přístupu. Že takový způsob řešení bezpečnosti je inspirující, dokládá např. nařízení vlády č. 462/2000 Sb., které se zabývá mj. zvláštními skutečnostmi jako určitými kategoriemi krizového řízení a nejenom, že popisuje obdobné přístupy, ale dokonce i přímo odkazuje na některé způsoby OUS, tak jak je stanovuje právní norma v jejich nejnižších klasifikacích. Zajímavý je v té souvislosti i přístup Úřadu pro ochranu osobních údajů při hodnocení způsobu zabezpečení osobních údajů u prověřovaných, kdy zpravidla nebývají výhrady k zabezpečení v případech, kdy jsou k ochraně osobních údajů aplikovány prostředky OUS nejnižší klasifikace. V neposlední řadě se lze dnes stále více setkávat s aplikací některých prostředků OUS a s jejich uplatněním v podobné struktuře jako je uvedena právní normě v nejrůznějších prvcích systému obecné bezpečnosti jak v soukromém tak i ve státním sektoru. Toto je pouze přirozený důsledek situace, kdy neexistuje jiný předpis ani metodologie pojímající problematiku bezpečnosti obecně přijatelnějšími praktikami a způsoby. Řada organizací i úřadů státní správy, po zpracování bezpečnostní politiky OUS, přikročila ke zpracování komplexní bezpečnostní politiky. Je však na místě upozornit, že aplikace standardů OUS do ochrany majetku, osob a informací má i své negativní stránky. Jde především o to, že objektová bezpečnost OUS vychází z jiných zásad než klasická ochrana majetku. Mechanická aplikace těchto standardů pak může vést k chybnému návrhu bezpečnostních opatření. Dále je nutné vzít v úvahu, že požadavky na bezpečnost utajovaných skutečností představují velmi přísná bezpečnostní opatření s adekvátními náklady na jejich realizaci. Ne vždy však jsou takové náklady adekvátní skutečným rizikům. Zákon ani dosavadní dohled nad jeho uplatňováním však doposud neřeší nejpodstatnější součást efektivního zajišťování bezpečnosti (v tomto případě OUS) a to je analýza rizik. Přitom však není v současnosti frekventovanějšího sousloví v oboru bezpečnosti. F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a.s. využívá při analýzách rizik všech dostupných metod a nástrojů. Kromě toho jsou vyvíjeny vlastní metodiky analýz rizik včetně podpůrného software. Metodiky jsou zpracovány pro jednotlivé bezpečnostní subsystémy. Na ně navazují bezpečnostní standardy, které jsme schopni dále přizpůsobit konkrétním podmínkám klienta. Podle obdobných zásad jsou rovněž zpracovány pracovní postupy pro bezpečnostní audit. Nespornou výhodou uvedení předpisové základny je kromě implementace legislativy a zkušeností z práce pro nejrůznější orgány státní správy i privátní subjekty, také soulad s normami ISO. V tomto směru je F.S.C. nejen držitelem platného certifikátu ISO, ale rovněž zajišťuje přípravu na certifikaci ISO pro další subjekty, včetně orgánů státní správy a samosprávy. Security and Protection of Information

20 240 Security and Protection of Information 2003

21 Network security manager David C. HÁJÍČEK, konzultant GiTy, a.s. Mariánské náměstí 1, Brno 1 Úvod Motto: Řiďme, co se děje... Význam bezpečnosti není třeba zdůrazňovat. Zajistit bezpečnost ovšem neznamená jen zajistit nepopiratelnost manipulace s daty, jejich integritu, dostupnost a důvěrnost. Je třeba zaměřit se na další neméně důležitý aspekt, a sice na bezpečnostní dohled a řízení. Přirozeně dokážeme víceméně chránit důvěrnost a integritu dat instalací a vhodnou konfigurací firewallu, zvýšit pravděpodobnost jejich dostupnosti VPN bránami, nebo garantovat jejich nepopiratelnost pomocí kryptografie a zaznamenáváním událostí. Umíme také zvýšit dobu jejich dostupnosti záložními zdroji pro případ výpadku elektrické energie. Naše snahy o zvýšení bezpečnosti mohou být více nebo méně úspěšné. Uživatelé mohou dodržovat bezpečnostní politiku, generátory mohou být spolehlivé, VPN brány mohou garantovat dobré připojení, firewally mohou dokonale filtrovat nebezpečné akce. 2 NSM dohled bezpečnostních událostí Přes všechny naše snahy většina incidentů zůstane neidentifikována. Odborníci zpravidla nejsou schopni procházet gigabyty log souborů tvořených bezpečnostními prvky. Takže nejsou ani schopni je posoudit a zanalyzovat. A pokud ano, setkáváme se se snahou skrýt je před pozorností vedení společnosti. Další nepříjemnou komplikací je skutečnost, že bezpečnostní události nebývají správně vyhodnoceny. Například útočníkovy pokusy obejít pravidla na firewallu mohou být identifikovány, zastaveny a zaznamenány, ale neohlášeny. NSM sbírá tyto ukládané informace (Syslog, SNMP, SMTP nebo XML) a interpretuje je bezpečnostnímu správci. NSM dokáže identifikovat a vytvořit vazby mezi událostmi jednotlivých zařízení. Představme si následující situaci: 2.1 Příklad Útočník změní data uložená na web serveru. Musí projít přes firewall a získat autorizaci k provedení této operace. Firewall zaznamená tuto událost (např. mnoho pokusů ze stejné IP adresy na porty našeho web serveru). IDS síťový senzor vytvoří záznam o podezřelé události. Obě zařízení informují bezpečnostního správce. Ten však situaci vyhodnotí jako obvyklou (pakliže se vůbec k tomuto kroku dostane), protože neví o souvislosti mezi jednotlivými události. Nakonec náš web server zaznamená, že byl změněn. Teď už prakticky neexistuje způsob, jak jednoduše identifikovat a popsat proběhlou událost vztahy mezi jednotlivými incidenty. Ve spoustě případů je aktivitám útočníků zamezeno, bez toho, aby byl bezpečnostní správce informován o proběhlém útoku. Bezpečnostní správce nemůže tedy zareagovat a tím se může stát napříště provedený útok stejným způsobem, ale s větší intenzitou, úspěšným. Nepříjemné je také to, že většina důležitých problémů nemá původ venku, tedy u útočníků. V mnoha organizacích je nezanedbatelná část dat ztracena či poškozena během výpadků HW a SW. V těchto případech je bezpečnostní dohled a správa, tedy NSM, snad ještě důležitější. Security and Protection of Information

22 2.2 Jak pracuje NSM Kde jsou výhody NSM od společnosti GiTy? V porovnání s jinými nástroji pro bezpečnostní správu (obrázek č. 1), aktuální situace bezpečnosti v síti zobrazuje dynamicky měnící se graf (obrázek č. 2). Graf se v průběhu doby mění v závislosti na momentálně probíhajících událostech. Obrázek 1. Běžné nástroje pro správu bezpečnosti Znamená to, že bezpečnostní správce nemusí být nutně technickým odborníkem, aby mohl vykonávat dohled nad bezpečnostní situací. Tímto způsobem můžeme výhodně oddělit roli technického správce od role správce bezpečnostního. Takto minimalizujeme možnost útoku či chyby ze strany správce. NSM pracuje v pěti úrovních: Sběr, konsolidace a korelace. Během této fáze NSM odhaluje relevantní aktivity a sbírá informace o nich z bezpečnostních zařízení v síti Normalizace dat. NSM normalizuje informace z logů zařízení pro kategorizaci známých událostí a poskytuje je ve srozumitelném jazyce. Klasifikace a prioritizace akvit. NSM organizuje a identifikuje bezpečnostní situace v celé síti založené na obchodních prioritách, politikách a celkové konfiguraci. Analýza. NSM analyzuje bezpečnostní události rychle, rozumí bezpečnostním událostem a umožňuje efektivně reagovat. Odezva. NSM reaguje na bezpečnostní situace v odpovídajícím čase použitím existujících bezpečnostní pravidel, nástrojů a procesů. 242 Security and Protection of Information 2003

23 Obrázek 2. Dynamicky měnící se graf situace v síti 3 Základní rysy NSM Každá ze zmíněných fází má v řízení bezpečnosti svůj vlastní smysl. K tomu, abychom mohli bezpečnostní události filtrovat a rozhodovat, které jsou důležité, potřebujeme je mít k dispozici všechny. NSM pro filtrování událostí a definici podmínek nabízí všechny logické operátory, regulární výrazy a kombinace matematických modelů. Přesto bezpečnostní administrátor nemusí být matematikem ani programátorem. Přestože je systém pravidel NSM silný nástroj, je ovládán rovněž prostřednictvím grafického rozhraní (obrázek č. 3). Obrázek 3. Ovládání NSM Bezpečnostní správce tak má možnost aplikovat bezpečnostní politiku bez asistence programátora a je rovněž schopen sám zkontrolovat, zda jsou bezpečnostní pravidla definována správně v porovnání s bezpečnostní politikou. Security and Protection of Information

24 Důležitou výhodou NSM je fakt, že může být používán v kombinaci s klasickým systémem pro dohled a řízení sítě (Spectrum, Tivoli, HP OpenView, atd.). NSM dokáže zasílat zprávy síťovému dohledovému systému a správce sítě může vytvářet na jejich základě trouble-tickety. NSM může být rovněž zkonfigurován tak, aby zasílal zprávy obsahující základní informace o události a/nebo jejím řešením odpovědnému řešiteli, například em nebo SMS zprávou. Obrázek 4. Nástroj pro generování zpráv Samozřejmostí jsou nástroje typu reporting tool či auto-response. Použití prvně zmíněného dává bezpečnostnímu správci možnost generovat souhrnná hlášení za určitá období. Bezpečnostní incidenty ukládané v databázi systému jsou kategorizovány a následně vyhodnoceny, aby mohlo být poskytnuto hlášení zodpovědným řešitelům (obrázek 4). 4 Závěr Všechny události, resp. informace o nich, jsou ukládány v databázi. Je rozumné ukládat pouze opravdové bezpečnostní incidenty není třeba redundantně ukládat informace o běžném provozu. Komunikace s databází (např. Oracle, MS-SQL) je realizována prostřednictvím ODBC a JDBC. Ze širokého spektra funkcí, které NSM skýtá, není možné bohužel tímto způsobem prezentovat ani desetina jeho skutečných možností. Na závěr lze říci jen to, že tento systém je jeden ze směrů ve světě řízení bezpečnosti. 244 Security and Protection of Information 2003

25 Zabezpečení přístupu k utajovaným skutečnostem IBM Česká Republika, spol. s r.o. V Parku 2294/4, Praha 4 - Chodov 1 Úvod Rodina produktů IBM Tivoli Access Manager (dále jenom Access Manager) je komplexní řešení autorizace pro firemní webové aplikace, aplikace typu klient/server a aplikace přímo popdorované Access Managerem (např. mysap.com, ). Autorizace produktu Access Manager dovoluje, aby organizace bezpečně řídila přístup uživatelů ke chráněným informacím a zdrojům. Vytvoření centralizovaného, flexibilního a přizpůsobitelného řešení pro řízení přístupu pomocí modulů Access Manager dovolí vybudovat vysoce zabezpečené a dobře spravované aplikační prostředí. 2 Access Manager správa a definice přístupu k aplikacím Access Manager je řešení správy informačních politik, které organizacím nabízí služby zabezpečení centralizované sítě v takové síti můžete konzistentně implementovat a spravovat bezpečnostní politiku organizace pro pŕístup k informacím zprostředkovaným aplikacemi. Access Manager splňuje tři primární podmínky pro vytvářené bezpečnostní řešení: nabízí různé druhy řešení, aby bylo možné vytvořit vysoce zabezpečené síťové prostředí nabízí praktické a intuitivní nástroje správy pro bezpečnou centralizovanou administrativu poskytuje bezpečnostní mechanismy, které nebrání povolené aktivitě klienta v síti Správa zabezpečení přístupu využívá tyto klíčové technologie: autentizace autorizace úroveň zabezpečení škálovatelnost prokazatelnost přístupu centralizovaná správa Ve svém jádru produkt Access Manager poskytuje: základní strukturu autentizace IBM Tivoli Access Manager for ebusiness nabízí řadu zabudovaných autentizátorů a podporuje externí autentizátory. základní strukturu autorizace Autorizační služba produktu Tivoli Access Manager, ke které je možné přistupovat prostřednictvím standardního autorizačního rozhraní API, nabízí pro žádosti o přístup vlastních serverů produktu IBM Tivoli Access Manager for ebusiness a aplikací třetích stran rozhodnutí povolit nebo odepřít. Implementací Access Manager-u je možné bezpečně řídit přístup k soukromým interním zdrojům umístěným na síti a rozšířit přístupnost veřejného Internetu a snadnost použití. Access Manager v kombinaci s firemním systémem firewallů může úplně chránit celopodnikovou intranetovou síť před neoprávněným přístupem a narušením. Security and Protection of Information

26 V zabezpečených systémech se rozlišuje autorizace od autentizace. Autentizace zajišťuje, že jedinec je tím, za koho se prohlašuje, ale neříká nic o jeho schopnosti a možnosti provádět operace s chráněným zdrojem. Autorizace určuje, zda má autentizovaný klient právo provádět operaci s určitým zdrojem, který je umístěn v zabezpečené doméně. Uživatelé mohou autentizovat svou totožnost buď pomocí veřejného/soukromého klíče, pomocí tajného klíče, nebo způsobem definovaným zákazníkem. Část procesu autentizace se zabývá vytvořením pověření, které popisuje totožnost klienta. Rozhodnutí o autorizaci, které provádí autorizační služba, jsou založena na pověřeních uživatele. Zdroje v zabezpečené doméně mají nadefinovánu úroveň zabezpečení, která je nařízena bezpečnostní politikou dané domény. Bezpečnostní politika nadefinuje oprávněné účastníky zabezpečené domény a úroveň zabezpečení obklopující každý zdroj, vyžadující zabezpečení. V modelu autorizace produktu Access Manager je autorizační politika implementována nezávisle na způsobu, který je používán pro autentizaci uživatelů. Na obrázku č.1 je zobrazen všeobecný princip, který Access Manager používá při autorizaci pŕístupu. Správce politik Registr uživatelů Objekty/ pravidla Klient/ požadavek Vymahač politiky Cíl/ aplikace Obrázek č. 1 Do rodiny produktu Access Manager patří IBM Tivoli Access Manager for ebusiness, který zabespečuje přístup v prostředí WEB, dále IBM Tivoli Access Manager for Business Integration, který výše zmíněný princip zabezpečení aplikuje v oblasti middleware-u a IBM Tivoli Access Manager for Operating Systems, který výše zmíněný princip rozšiřuje o operační systém Unix. Stěžejní komponentou produktu IBM Tivoli Access Manager for ebusiness (dále ITAMeB) je WebSeal ve funkci vymahače politiky obrázek č.2. HTTP Záhlaví WebSEAL WAS WAS Web Svr. Application Aplikace Resource Resource Zdroje Junction Bod spojení Obrázek č Security and Protection of Information 2003

27 WebSeal vymahač politiky pracuje jako reverse proxy. Po autentizaci uživatele je schopen poslat informace o uživateli doplněním přímo do HTTP/HTTPS záhlaví pro specifickou aplikaci, která je svázána s bodem spojení (junction), tj. serverem na kterém je aplikace provozována. A zde je popis procesu autorizace, který WebSeal provádí, když z z Web nebo PDA klienta dorazí požadavek na provedení některé z funkcí poskytovaných aplikací: 3. Požadavek autentizovaného klienta (pokud uživatel není autentizován WebSeal provede nejdřív kontrolu identity - autentizaci) na zdroj je přesměrován na server správce zdrojů a je zachycen procesem vymahače politiky. Správce zdrojů může být server WebSEAL (pro přístup prostřednictvím protokolu HTTP nebo HTTPS), nebo aplikace jiného dodavatele. 4. Proces vymahače politiky zavolá prostřednictvím autorizačního rozhraní API autorizační službu a požádá ji o rozhodnutí o autorizaci 5. Autorizační služba provede kontrolu autorizace pro zdroj, který je v prostoru chráněných objektů představován objektem. 6. Rozhodnutí, zda požadavek je přijat nebo zamítnut, je navráceno ve formě doporučení správci zdrojů (prostřednictvím vymahače politiky). 7. Je-li požadavek nakonec schválen, správce zdrojů předá požadavek aplikaci, která je za zdroj odpovědná. 8. Klient obdrží výsledky požadované operace. 3 Koncept jednotného přihlášení (Single sign-on - SSO) Je-li chráněný zdroj umístěn na webovém aplikačním serveru typu back-end, může být na klientovi, který žádá o určitý zdroj, požadováno, aby provedl několik přihlášení jedno pro server WebSEAL a další pro server typu back-end. Každé přihlášení bude pravděpodobně vyžadovat odlišné totožnosti pro přihlášení. Problém správy a udržování více totožností přihlášení je možné vyřešit pomocí mechanismu pro jednotné přihlášení (SSO - single sign-on). Konfigurace jednotného přihlášení dovolí uživateli přistupovat ke zdroji bez ohledu na umístění zdroje, a to pomocí pouze jediného prvního přihlášení. Jakýkoliv další požadavek na přihlášení ze serveru typu back-end je pro uživatele zpracován transparentně. Součástí ITAMeB je Access Manager for WebSphere Application Server (WAS), které nabízí autorizaci založenou na kontejnerech a centralizovanou správu politik aplikací produktu IBM WebSphere Application Server. Access Manager for WebSphere může být integrován s produktem WebSphere Application Server a provádí rozhodnutí o autorizaci příchozích požadavků na přístup ke chráněným zdrojům. Nasazením Access Manager for WebSphere může administrátor sítě nastavit Access Manager tak, aby poskytoval centralizovanou správu bezpečnostní politiky jak pro zdroje produktu WebSphere Application Server, tak i pro zdroje, které nejsou v žádné souvislosti s produktem WebSphere Application Server. Access Manager poskytuje správu obecných totožností, uživatelských profilů a autorizačních mechanismů. Access Manager také nabízí grafické uživatelské rozhraní, které se nazývá Access Manager Web Portal Manager. Toto rozhraní se může používat jako jediný bod správy bezpečnosti jak pro zdroje přizpůsobené Java 2 Enterprise Edition (J2EE),tak i pro zdroje nepřizpůsobené J2EE. 4 Přístup k utajovaným skutečnostem Vývoj nových služeb autorizace pro každou aplikaci je drahý proces, který vede k těžko spravovatelné infrastruktuře. Centralizované služby autorizace, které mohou využívat vývojáři prostřednictvím standardizovaných rozhraní API, významně zrychlí proces dodání na trh a sníží provozní náklady a to je cílem produktu IBM Tivoli Access Manager. Security and Protection of Information

28 248 Security and Protection of Information 2003

29 1 Úvod Bezpečnostní síťové incidenty reakce v reálném čase a využití systémů IDS. Jan Müller, CSc. jan.muller@i.cz ICZ a.s. V Olšinách 75, Praha 10 Následující materiál navazuje na prezentaci Intrusion Detection Systems in Incident Response, předneseného na semináři NATO Inforensics and Incident Response Workshop (IIRWS) v Haagu v říjnu loňského roku. Cílem tohoto příspěvku je prezentovat potřebu změny přístupu k řešení incidentů (incident response) z tradičního forenzního pojetí reaktivního typu na přístup proaktivní, nebo lépe řečeno na koncepci zásahu v reálném čase, která umožní minimalizovat škody způsobené probíhajícím útokem. Příspěvek krátce popisuje konkrétní obchodní a operační prostředí společnosti ICZ a.s., na kterém jsou založeny implicitní předpoklady a hodnotící kritéria pro vyhodnocení efektivnosti jednotlivých přístupů, dále se zabývá problematikou bezpečnosti jako trvalého procesu v kontextu připojení k nedůvěryhodné síti a rovněž rozebírá konkrétní problémy a zkušenosti z provozu podobných systémů. Problematika bezpečnostních incidentů je v tomto příspěvku zúžena na rozhraní mezi privátní sítí subjektu a vnější nedůvěryhodnou sítí, obvykle Internetem. 2 Prostředí a specifický kontext prezentovaných zkušeností ICZ a.s. patří mezi nejvýznamnější společnosti na trhu IT v České republice a jejím hlavním posláním je poskytování komplexních řešení v oblasti IT, které ve vybraných segmentech pokrývají celé vertikály od infrastruktury až po vlastní aplikace, a to od analytických prací přes návrh, realizaci až po správu produkčních systémů. V kontextu tohoto příspěvku jsou v portfoliu ICZ nejzajímavější oblasti jednak komplexní řešení bezpečnosti od strategického řízení rizik až po kryptografické technické prostředky, a dále návrh, realizace a provoz rozsáhlých sítí se zvláštním důrazem na bezpečnost. ICZ zajišťuje u zákazníků v dohodnutém rozsahu jak správu sítí, tak i bezpečnosti (Managed Security Services), a tento příspěvek vychází ze zkušeností ze správy zákaznických systémů. Právě z obrovské variability takto poskytovaných služeb, které se u jednotlivých zákazníků liší rozsahem, bezpečnostními požadavky, funkčními požadavky a použitými platformami, vyplývají některé specifické pohledy na danou problematiku. V kontextu takovýchto služeb jsou pak preferovány jiné vlastnosti systémů než u běžného uživatele, např. jednoduchost vzdálené správy na úkor grafického uživatelského rozhraní, a vyžadují se další schopnosti jako je možnost efektivního propojení těchto zákaznických systémů do kontaktního centra poskytovatele apod. Rovněž je kladen důraz na minimalizaci požadavků na zdroje zákaznické sítě, nezbytné je zejména omezení provozu mezi sensorem (E-box) a analyzátorem (A-box). 3 Obecný rámec bezpečnosti v síťovém prostředí Jedním z nejzásadnějších požadavků na jakékoli řešení bezpečnosti sítě je existence formálnějšího rámce řízení rizik v organizaci, kde jsou zajišěny potřebné procesy a procedury, definována hierarchie bezpečnostních pracovníků a jejich odpovědnosti, a kde jsou také definovány bezpečnostní politiky, které se v důsledku promítají i do bezpečnostních opatření jako jsou konfigurací firewallů a systémů IDS. Fundamentálním a často nedoceňovaným principem v této oblasti je ovšem fakt, že bezpečnost není něco, co se získá zakoupením a instalací nějakého zařízení, nýbrž je to trvalý a dosti náročný proces. Z pohledu síťové bezpečnosti probíhají takové trvalé procesy minimálně na třech různých rovinách: strategická zde se obvykle v pravidelných cyklech provádějí audity, zajišťují se revize politik různých úrovní a kontroluje se, zda i nadále odpovídají potřebám organizace v měnících se podmínkách; taktická - na této úrovni je třeba jednak provádět revize konfigurací (jestli odpovídají měnícím se politikám nebo novým požadavkům na funkčnost), a dále je nutno provádět trvale revize nástrojů, zejména aplikovat bezpečnostní aktualizace (updaty, patche) tak, aby použité nástroje splňovaly bezpečnostní cíle (Security Objectives ve smyslu Common Criteria) požadované pro tento systém; Security and Protection of Information

30 operační na této úrovní musí probíhat v podstatě trvalé analýzy logů a provozu z různých zařízení jako jsou IDS systémy, firewally, hraniční směrovače, ale také různé servery a jiné počítače. V reálném nasazení je třeba si uvědomit, že při cíleném útoku nemůže žádný systém vydržet poskytovat potřebné služby nekonečně dlouho (to platí zejména u útoků typu DoS) a že je tedy potřebný externí zásah. 4 Forenzní přístup k řešení bezpečnostních incidentů Tradiční přístup k řešení bezpečnostních incidentů má reaktivní charakter a vychází z klasického forenzního pohledu, kde se předpokládá, že došlo k nějakému (zlo)činu a k jeho vyšetření je nutno analyzovat veškerou dostupnou evidenci. Asynchronní událostí (trigger), která spouští celý mechanismus incident response, je zde tedy zpozorování viditelné škody na aktivech systému, a o vlastním incidentu se přepokládá, že proběhl víceméně jednorázově kdesi v minulosti. Výhodou takového postupu je na druhé straně právě fakt, že škoda již byla způsobena (obvykle brání normálnímu používání systému), incident je zřejmý, riziko falešných positiv je minimální a není pak třeba provádět tzv. triage (předběžné třídění významných a nevýznamných událostí). Přestože tento přístup je v mnoha případech opodstatněný, právě v kontextu připojení k nedůvěryhodným sítím lze mnoha škodám předejít tím, že asynchronní událostí, která nastartuje zásahový mechanismus, není dokončený průnik a ztráta aktiv, ale první příznak skutečného cíleného útoku. Na druhé straně je ovšem třeba říci, že problematika Incident response je podstatně širší než reakce na útoky proti síti, a může zahrnovat celou řadu dalších jevů jako např. SPAM, neoprávněné použití systémů a dalších zdrojů atd. (viz. např. From Events to Incidents). Standardní přístup k řešení bezpečnosti vůči externím sítím předpokládá rozdělení prostoru na vnitřní důvěryhodný svět a vnější nedůvěryhodný, a dále oddělení těchto prostorů zabezpečenou kruhovou obranou (perimeter defense). Nejen že je tato dělba obvykle naivní, ale většinou je nepodložená i důvěra v odolnost bezpečnostních opatření nedojde-li v rozumné době k manuálnímu zásahu, obrana je prolomena, dojde ke způsobení škody a na řadu opět přicházejí tradiční forenzní metody. 5 Incident response v reálném čase Pokud je chráněný systém vybaven mechanismy pro identifikaci útoku, může ve vhodné architektuře informovat kontaktní centrum a vyžádat si tak zásah operátora. V řadě případů tak může být síť ušetřena jakýchkoli ztrát, protože útok byl teprve zahájen a díky mechanismu časného varování bylo možno jej včas neutralizovat. Reakce v reálném čase tak směřuje k neutralizaci útoku, zatímco tradiční reaktivní incident response reaguje na způsobenou škodu, kterou pak pomocí forenzních metod analyzuje a odstraňuje. Jako systém časného varování pro tyto účely jsou používány právě mechanismy IDS; ani IDS ovšem není všelék, existuje jich celá řada s různou architekturou a s různou úrovní přesnosti a bezpečnosti. Kromě toho existují konkrétní útoky pro obejití IDS a IDS navíc přinášejí i některé další specifické problémy. Samotná reakce závisí na typu útoku; typicky se jedná o tzv. penetrační útok, jehož cílem je obvykle získání privilegovaných práv a ovládnutí napadeného systému (např. komplexní mechanismy jako Ramen nebo Lion). Mezi další typy útoku patří stále častější DoS (Denial of Service), kde cílem je zabránit napadenému systému v poskytování legitimní služby. To může být např. využítím mezery v implementaci serveru služby (třeba syntakticky správný, avšak neočekávaný příkaz nebo paket, např. LAND), neočekávané využití vlastnosti nebo konfigurace sítě nebo systému (např. Smurf nebo Fraggle), nebo nějaký patologický vstup (překrývající se segmenty TCP nebo fragmenty IP, nesprávná sekvence příkazů a pochopitelně buffer overflow útoky). Velmi často však jde o vyčerpání nějakých omezených zdrojů, např. CPU cyklů, šířky pásma pro připojení na Internet, ale také staticky alokované paměti např. pro počty procesů nebo pro udržování stavových informací v některé fázi stavového automatu TCP (nejčastěji tzv. polootevřená spojení). Těmto útokům se čelí nejhůře, neboť využívají legitimní služby, a téměř vždy vyžadují zásah operátora (zejména v případě distribuovaných útoků, tzv. DDoS, např. Trinoo nebo Stacheldraht). Na opačné straně spektra pak leží mapování zdrojů potenciální oběti, tzv. scanning, které mnohdy ani není možno legálně považovat za útok a které je navíc tak časté, že většinou operátorům ani nestojí za nějakou aktivní reakci. 250 Security and Protection of Information 2003

31 6 Typy IDS a jejich použití Tradiční členění IDS systémů vychází z umístění IDS, respektive z informačních zdrojů, které představují primární vstup pro tento systém, a obvykle se dělí na NIDS, network based IDS, které sledují provoz na (lokální) síti, a HIDS, host based IDS, které sledují podezřelé události na vlastním počítači. Toto hrubé rozlišení je stále validní, protože NIDS sleduje síťové pakety, které by mohly způsobit škodu, zatímco HIDS sleduje události v systému, které se již odchylují od standardního chování. Typický NIDS tak sleduje průchozí pakety na síti, často zcela nezjistitelně (tzv. Stealth Mode - monitorovací rozhraní nemusí mít IP adresu nebo má aktivní jen přijímací vodič), analyzuje je a na základě svých představ o nebezpečnosti pro pokryté systémy pak provádí potřebné akce. Tyto představy se ovšem mohou lišit od reality, a existuje celá třída útoků, tzv. insertion/evasion attacks [3], které těchto rozdílů využívají k úspěšným průnikům. NIDS mohou být lokalizovány ve třech zónách, které se liší sensitivitou a počtem falešných positiv červená před firewallem, zelená v DMZ a modrá ve vnitřní síti (viz. [9]). Vzhledem k současnému rozšíření přepínačů mohou mít NIDS i problémy s umísťováním sensorů na porty SPAN (Switch Port Analyzer). HIDS je naopak lokalizován na chráněném počítači, obvykle serveru, a ve standardním operačním systému pracuje buď v uživatelském prostoru (user space), obvykle jako tzv. aplikační IDS, anebo na úrovni jádra OS (kernel space). Na této úrovni pak může detekovat pokusy o použití privilegovaných funkcí, případně prosazovat potřebnou politiku pomocí mechanismů Mandatory Access Control (cf. NSA SELinux). V uživatelském prostoru mohou pracovat i další nástroje, které umožňují sledování neautorizovaných zásahů, např. zabezpečení integrity souborových systémů kryptografickými prostředky apod. Řada systémů HIDS pracuje v tzv. Near Real-Time, kdy reagují nikoliv na vlastní událost, ale okamžitě na zápis do sledovaného logu. Další perspektivní typ IDS je tzv. stack based IDS; tento systém pracuje na úrovni TCP/IP ovladače operačního systému a někdy je vnímán jako varianta HIDS (pojetí z [7]), někdy spíše jako samostatný typ IDS ([4]), tzv. Network Node IDS (NNIDS). Stack based IDS je umístěn na počítači podobně jako HIDS, ale analyzuje IP provoz jako NIDS, ovšem pouze pro interní potřebu ve vlastním ovladači TCP/IP. Takový systém pak reaguje již na pokusy o průnik (na rozdíl od typických HIDS), ale oproti tradičním NIDS rozumí i vnitřní interpretaci (obrana proti útokům typu evasion/insertion). Mezi další zajímavé typy patří dále tzv. Inline IDS (IIDS), též nazývané Gateway IDS (GIDS). Jedná se v zásadě o firewally, které vyhodnocují a blokují pokusy o útok (obvykle dynamicky). Dále je ovšem nutno si uvědomit, že oblast IDS se stále dramaticky vyvíjí, a to nejen přidáváním nových schopností, ale také z hlediska celkové architektury a způsobu využití systémů. IDS jsou navíc alespoň částečně distribuované, liší se již v základních cílech, v metodách a v procesním řízení a nakonec se liší i referenční architektury, např. architektura popsaná v materiálu NSA Intrusion Detection Protection Profile [1] a architektura v dokumentu NIST Intrusion Detection Systems [2], případně i architektura CIDF (Common Intrusion Detection Framework), použitá v materiálu [3]. Hrubý přehled kritérií pro posuzování IDS by měl obsahovat alespoň následující aspekty: cíle IDS IDS je zaměřen primárně buď na identifikaci útočníka (accountability), nebo na korektní reakci na pokus o průnik (response). Tyto základní cíle pak kladou na mechanismy IDS zcela jiné požadavky; typ reakce pasivní systém zasílá na centrální konzoli různé alarmy a oznámení od pop-up alert window na konzoli přes SNMP trapy pro centrální NMS systém až po přímé upozornění operátorů pomocí SMS, pagerů nebo ů; aktivní systém (zejména v distribuované verzi) provádé sám některá základní opatření, např. shromažďování většího množství informací, rekonfiguraci prostředí (access-listy na porty, IP adresy, reset na TCP, totální odpojení) nebo přímá aktivní obrana (nedoporučuje se); procesní architektura existuje více verzí, tak například NIST [2] člení procesy na získání informací, jejich analýzu a odpověď, zatímco CIDF přidává datový sklad a architektura se pak skládá z: E-box (passive protocol analyzer) ve skutečnosti sensor D-box (storage) A-box (pattern-matching analysis) Security and Protection of Information

32 C-box (countermeasure) ; NSA IDS Protection Profile [1], vytvořený v souladu s architekturou Common Criteria podle ISO/IEC 15408, naopak integruje do systému ještě vyhodnocení zranitelnosti (vulnerability assessment), takže výsledná architektura IDS obsahuje sensor, analyzer a scanner (to ostatně odpovídá řadě reálných implementací); Reálný čas jak systémy HIDS, tak NIDS i další mohou vyhodnocovat situaci (např. prohlížet interní logy nebo nashromážděné pakety) průběžně nebo po nějakých obdobích (interval-based); i v případě průběžného vyhodnocování může být vlastní předávání reportů po intervalech. V těchto případech je nutno vyhodnotit možné škody v důsledků opožděné reakce proti nárokům na zdroje, vyžadované pro trvalé vyhodnocování; Řídící strategie do jaké míry je architektura centralizována. Obvykle jsou na klíčových místech umístěny sensory (NIDS nebo HIDS), které sbírají informace a zasílají je k dalšímu vyhodnocení. V centralizované architektuře se jedná o jedinou centrální konzoli, kde se provádí vyhodnocení a zajišťuje se reakce, zatímco v plně distribuované architektuře se tyto akce provádějí lokálně. V částečně distribuované architektuře se pak obvykle jedná o hierarchický systém, kde lokální IDS konzole vyhodnocují potenciální útoky a provádějí některá protiopatření, ale také zasílají agregované informace, reporty a alarmy do centra, často právě s použitím méně výkonných spojů (pronajaté linky nebo i Internet); Způsob identifikace potenciálních útoků buď podle rozpoznání specifických aktů nepřátelského chování (Misuse detection), nebo podle rozpoznání anomálního chování na síti nebo v systému (Anomaly detection): Misuse detection zdaleka nejběžnější přístup v komerčních IDS je tzv. signature based detection, kde se používá identifikovatelných vzorců interakce, velmi připomínající způsob identifikace virů v AV systémech. Podobně jako u anti-virů, i zde je systém závislý na přesném popisu útoku a proto je třeba databázi signatur neustále aktualizovat. Metoda stavového rozpoznávání (state based detection) se snaží rozšířit možnosti i o rozpoznávání variant, ale není příliš rozšířená. Anomaly detection přes řadu teoretických nástrojů, sahajících až k neurálním sítím, se v praxi používají především dvě metody, prahové (threshold) a statistické. V reálném nasazení slouží tyto nástroje hlavně k omezení konzumace zdrojů, typicky např. počtu polootevřených spojení, CPU cyklů apod. IDS na bázi anomaly detection často generují falešné pozitiva (viz dále) a u neparametrických statistických systémů vyžadují často trénování pro identifikaci normálního chování. 7 Problémy systémů IDS a jejich využití pro Incident response 7.1 Technické problémy V reálném provozu IDS je pravděpodobně nejzásadnějším problémem velké množství tzv. falešných positiv (false positives), tj. situace, kdy detekční systém hlásí významnou událost, ačkoliv k žádné nedošlo. Tento problém je obzvláště závažný u exponovaných sítí, které jsou cílem tisíců útoků a scanů denně; podle některých právníků je scanning legální, jedná se totiž o vyhledávání veřejně přístupných zdrojů, a mnoho operátorů proto pak např. scany zcela ignoruje, protože proti nim ani nemohou nijak zasáhnout. Jestliže IDS generuje mnoho falešných positiv, má to na bezpečnost systémů negativní psychologický dopad, protože administrátor pak výstupy z IDS nebere na vědomí, tj. situace je horší, než kdyby tam nic nebylo. Dalším v zásadě technickým problémem je vyhodnocování efektivnosti IDS, tzv. benchmarking, pro potřeby konkrétní sítě. Reálné požadavky jsou obecně minimalizovat falešná negativa (nezaznamenané útoky) a potom minimalizovat falešná positiva. Kritéria by se neměla zaměřovat jen na rychlost, ale především na to, jak IDS plní své funkce. Efektivnost závisí na těchto požadovaných funkcích (např. defragmentace, udržování stavových informací), na konkrétní topologii a konfiguraci sítě a také na poskytovaných službách. I v případě, že uživatel má jasno v požadované funkcionalitě (viz. další odstavec), je třeba ke zveřejňovaným testům (zejména v komerčních prezentacích vlastních produktů) přistupovat velmi opatrně a pochopit metodiku, zejména jaké typy funkcí byly testovány a na jakém typu provozu. Performance ve smyslu rychlosti sítě hlídané systémem IDS je až dalším kritériem po splnění dvou hlavních podmínek, a i pak je nutno vědět, co v testu reálně proběhlo M.J.Ranum uvádí např. v [5] příklad benchmarku, kde NIDS pouze zahazoval pakety v gigabitových rychlostech. 252 Security and Protection of Information 2003

33 7.2 Procesní problémy Mezi další zcela zásadní problémy s využitím IDS pro incident response patří organizační vyřešení procesů IDS. Má-li IDS skutečně předcházet škodám, musí být integrálně začleněn do kontaktního centra, případně u poskytovatelů MSS do mechanismů CRM (Customer Relation Management). Jedná se tedy především o organizační problém, kde je zapotřebí zajistit včasnou kompetentní analýzu incidentu a odpovídající reakci kvalifikovaným personálem. Zejména u MSS se vyžaduje jak automatizovaná část s nějakou inteligencí pro eliminaci falešných positiv, tak I lidská část pro závažná rozhodnutí, tzn. optimální architektura je částečně distribuovaný systém. Celý systém je pak náročný na procesní propojení jednotlivých částí a vyžaduje integrační mechanismus pro okamžitou reakci na vyfiltrované významné události a pro jejich sledování (alarmy, tiketový systém apod.). Operátor IDS musí mít také připraveny postupy pro komunikaci s ISP pro případy distribuovaných útoků (pozor někteří ISP považují blokování útoků DDoS za nadstandardní placenou službu). Systém musí dále obsahovat procedury pro ukončení případu, např. uzavřením tiketu, ale také vypracovaním reportu s doporučením dalšího postupu pro závažné incidenty. Obvykle se také požadují možnosti reportů dlouhodobějšího vývoje incidentů na síti. 8 Požadavky na IDS, zkušenosti a doporučení Mezi základní požadavky na IDS patří především schopnost rozeznat útok; hlavním kritériem tedy je, jaké události systém rozpoznává a jaké nástroje má k dispozici. IDS může např. udržovat stavové informace TCP pro minimalizaci falešných positiv, provádět defragmentaci a identifikovat překrývající se fragmenty pro útoky insertion/evasion, provádět skutečnou analýzu protokolů namísto spoléhání na čísla portu, rozpoznávat pomalé skenování (slow scan) atd. Z hlediska bezpečnosti jsou rovněž důležité mechanismy pro aktualizaci databáze útoků. Pro sjednocení názvosloví a popisů útoků doporučujeme vycházet ze standardního seznamu CVE (Common Vulnerabilities and Exposures List), udržovaném na K dalším požadavkům patří kromě rychlosti zejména rozšiřitelnost a integrovatelnost do NMS, ale také možnost využití dalších nástrojů jako je scanner, firewall, AV, honeypot aj. Zejména pro poskytovatele MSS je důležitá schopnost automatizace práce s logy a schopnost rozumět i jiným formátům (např. nová verze Prelude zpracovává i logy nástroje ciscomon). Neméně důležité jsou i nástroje pro generování reportů, statistických zpráv a různých typů grafů. Pro další zpracování incidentů, pro případnou forenzní analýzu nebo pro poskytnutí detailů v dalším řízení je rovněž potřebná schopnost logy uchovávat (D-box v modelu CIDF). Samotný systém IDS se ovšem sám nesmí stát zdrojem odmítnutí služeb (DoS), např. zahlcením sítě různými zprávami a logy v syrovém stavu. Zejména v kontextu MSS je často nutno používat částečně distribuované architektury, protože sensorová stanice leží ve vzdálené síti a je tedy nutno minimalizovat provoz přes WAN, tzn. delegovat část procesování do vzdálené sítě. Obecně ovšem platí, že samotná kruhová obrana nemůže být vždy stoprocentní a že je tedy nutno používat obranu do hloubky. Pro tyto účely lze doporučit používání jak NIDS, tak HIDS na přístupných serverech, kde síťový systém identifikuje potenciální útok a serverový systém identifikuje skutečný průnik. Exponované systémy by měly mít Mandatory Access Control na úrovni jádra, kde logy a alarmy z komponenty Enforcer představují vstup pro konzoli IDS. ICZ k tomu používá zesílené operační systémy (vlastní distribuce ICZ Linux) a další upravené systémy s využitím kernel patchů pro MAC jako jsou LIDS, GRSecurity a Medusa. Tyto požadavky see týkají i vlastních síťových IDS, které musí být rovněž bezpečné (často jsou navíc také skryté). Síťové NIDS by dále neměly sledovat jen provoz zvenku dovnitř, ale také provoz ven. Ten může ukázat zahájení činnosti hackerských programů na kompromitovaných systémech, které se pokouší komunikovat se svými pány (odesílání citlivých souborů, login informací, mailů apod.), ale může se tak odhalit i činnost systémů infikovaných nedetekovaným virem uvnitř sítě. Pro doplnění detekce průniků lze doporučit i aplikační IDS, buď jako produkty u složitějších aplikací (sledování a analýza logů u DBMS), nebo i jednoduché upravené běžné programy ( miny ), které mohou hlásit nestandardní použití na konzoli IDS. Security and Protection of Information

34 9 Další vývoj Obecně můžeme říci, že se vzrůstajícím používáním sítí včetně Internetu pro realizaci obchodních aktivit různých typů vzrůstá hodnota aktiv jednotlivých uživatelských subjektů, zranitelných z Internetu, narůstá zranitelnost a kritičnost těchto aktiv, ale narůstají také hrozby a motivace tyto hrozby uplatnit. Samotný výpadek služby již může vést ke značným škodám, a tak začíná být bezpečnost prvořadým úkolem. Viděli jsme, že IDS systémy mohou významně snížit způsobené škody, a v dalším rozvoji bezpečnosti sítí budou jistě hrát klíčovou roli všechny uvedené typy. Další rozvoj se soustřeďuje na několik oblastí, především na přesnější identifikaci útoků s minimalizací falešných positiv, kde jsou často používány metody z oblasti datových aplikací jako Data mining. Řada systémů aktivně reaguje na incident změnou prostředí, které připomínají dynamické Access-listy (např. Cisco) nebo v NSA koncepci dynamické bezpečnostní politiky v projektu Flask. Dalším zajímavým vývojem je určitá fúze IDS a firewallů do tzv. IPS, Intrusion Prevention Systems, které mají v principu minimalizovat potřebu lidského zásahu do mechanismu Incident response. Patří sem např. již zmíněné Inline NIDS, které ovšem nemohou poskytnou služby NAT, protože fungují na druhé OSI vrstvě (jako tzv. mosty - bridge), dále různé typy přepínačů 7. vrstvy, hybridní přepínače v kombinaci s falešnými sítěmi honeynet, ale také se scannerem který importuje svá výstupní data jako politiku do IPS, aplikační IPS a další. Oblast IDS je tedy stále ve vývoji a v blízké budoucnosti lze očekávat další významné přínosy. 10 Literatura a zdroje: [1] Example, J., and Example, W.: The best paper ever written, in Proc. Of Cryptoworkshop, pp. 1-2, [2] Intrusion Detection System System Protection Profile, Intrusion Detection System Analyzer Protection Profile, Intrusion Detection System Sensor Protection Profile, by Science Applications International Corporation for National Security Agency, 2001 [3] R. Bace, P.Mell, Intrusion Detection Systems NIST [4] T.H.Ptacek, T.N.Newsham, Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection, SecureNetworks Inc [5] Detmar Liesen, Requirements for Enterprise-Wide Scaling Intrusion Detection Products, [6] M.J.Ranum, Experiences Benchmarking Intrusion Detection Systems, NFR Security, Inc [7] P.A.Loscocco, S.D.Smalley, P.A.Muckelbauer, R.C.Taylor, S.J.Turner, J.F.Farrell, The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments, NSA 1998 [8] B.Laing, How To Guide-Implementing a Network Based Intrusion Detection System, ISS 2000 [9] N.Desai, Intrusion Prevention Systems: the Next Step in the Evolution of IDS, SecurityFocus 2003 [10] S.C.Sanchez, IDS Zone Theory Diagram, CISSP Security and Protection of Information 2003

35 Využití Microsoft Internet Security & Acceleration Server nejen pro VPN (Virtuální privátní síť) a firewall Bezpečnostní řešení pro organizace Microsoft, s.r.o. Společnost Avanade využívá integrované řešení globálního propojení pomocí Microsoft Internet Security & Acceleration Server Společnost Avanade se sídlem v Seattlu si vybrala jako základ své strategie připojení přes síť WAN (Wide Area Network) řešení Microsoft ISA (Internet Security & Acceleration) Server Společnost Avanade nyní využívá výhody jediného řešení, které zajišťuje propojení všech poboček a datových center společnosti po celém světě prostřednictvím sítě VPN (Virtual Private Network). Tím, že společnost nevyužívá vyhrazené datové okruhy typu point-to-point, ušetří miliony dolarů. ISA Server také poskytuje společnosti Avanade komplexní zabezpečení sítě (prostřednictvím brány firewall využívající vyspělé technologie), snižuje požadavky na šířku pásma, zajišťuje lepší odezvu na požadavky uživatelů a umožňuje místním pobočkám jednoduchým způsobem publikovat obsah tak, aby byl snadno přístupný zákazníkům. Prostředí integrované správy a integrace služby Active Directory, které ISA Server poskytuje, také zjednodušují správu společnosti Avanade umožňují totiž správu z jediného bodu. Celkově jsou tak splněny požadavky společnosti z hlediska propojení celé organizace. 1 Souhrnné informace o společnosti Společnost Avanade byla založena v dubnu 2000 a představuje joint venture mezi společností Accenture a Microsoft. Avanade poskytuje nejmodernější služby integrace technologií společnostem Global 2000 a tzv. tvůrcům trhu (market makers). Dodává řešení spojující hluboké technické znalosti se zkušenostmi v oblasti integrace. Společnost Avanade s zaměstnanci v 11 zemích má velmi distribuovanou strukturu. Spravuje 17 vývojářských center v USA, Evropě, Jižní Americe a Asii a Tichomoří. Vytváří pro zákazníky přidanou spotřebitelskou hodnotu využíváním technologie společnosti Microsoft určenou pro organizace, která umožňuje návrh, vytváření a zavádění přizpůsobených spolehlivých architektur a rozšiřovatelných infrastruktur. Společnost Avanade také spravuje tři datová centra v Santa Clara (Kalifornie), Frankfurtu (Německo) a Singapuru. 2 Situace Rychle se rozvíjející globální společnost Avanade požadovala nenákladnou, bezpečnou a flexibilní strategii připojení WAN, která by umožňovala propojit všechny její pobočky na celém světě. Balíčky obsahující řešení sítě VPN a brány firewall jsou obvykle složité, nákladné a náročné z hlediska globální implementace v celé organizaci, řekl Craig Nelson, vedoucí týmu architektury společnosti Avanade. Potřebovali jsme řešení, které by nám umožňovalo bezpečně a levně propojit naše pobočky a datová centra na celém světě prostřednictvím sítě VPN, snížit požadavky na šířku pásma a zlepšit odezvu na požadavky uživatelů. Zároveň mělo toto řešení umožňovat místním pobočkám jednoduchým způsobem publikovat obsah tak, aby byl snadno přístupný na Internetu. Až do nedávné doby společnost Avanade využívala pro základní filtrování paketů a překlad adres (NAT) bránu firewall Check Point. Za účelem zvýšení zabezpečení a povolení složitých protokolů, například H.323, jsme potřebovali řešení, které by umožňovalo překlad adres (NAT) a kontrolu dat v aplikační vrstvě, popsal situaci Craig Nelson. Security and Protection of Information

36 3 Řešení Po vyhodnocení všech dostupných možností se společnost Avanade rozhodla nahradit stávající řešení brány firewall serverem Microsoft Internet Security & Acceleration (ISA) Server Celá naše páteřní síť je založena na serveru ISA Server a službě Směrování a vzdálený přístup (RRAS) systému Windows 2000, řekl Craig Nelson. Podařilo se nám vyvinout standardizovanou implementaci, která umožňuje na libovolném místě na světě vybudovat pobočku s přístupem k Internetu. Celkem nyní využíváme po celém světě více než 60 serverů ISA. 3.1 Kompletní páteřní síť VPN Pomocí serveru ISA Server 2000 byla společnost Avanade schopna vytvořit síť VPN s vysokou dostupností umožňující zabezpečené přímé připojení mezi libovolnými vývojářskými a datovými centry společnosti po celém světě. Kompletní páteřní síť VPN nám umožňuje řídit naše vlastní připojení typu point-to-point. To se podle nás stane nesmírně důležité z hlediska nových směrů v technologiích komunikace typu peer to peer, využívání Windows Messenger, technologie Voice over IP, atd., uvedl Craig Nelson. Místo nákladných telekomunikačních okruhů typu point-to-point můžeme získat daleko levnější internetové okruhy od vybraných poskytovatelů a vytvořit svá vlastní logická připojení mezi pobočkami pomocí technologií RRAS a VPN společnosti Microsoft. Všechny pobočky a datová centra společnosti Avanade mají bránu sítě obsahující 2 jednoprocesorové servery se systémem Windows 2000 Server a ISA Server 2000 Enterprise Edition. Jde o provoz s vysokou dostupností využívající konfiguraci active-active a funkci pole poskytovanou servery ISA Server V závislosti na požadované úrovni redundance dat je každá brána připojena k jednomu či více internetovým okruhům od vybraného poskytovatele, upřesnil Craig Nelson. Brána potom vytvoří tunelová propojení PPTP nebo L2TP k nejbližšímu datovému centru a pobočkám, se kterými často komunikuje. Mezi datovými a vývojářskými centry se prostřednictvím protokolu OSPF dynamicky používá funkce Cost-Based Routing. Přenos dat přes Internet je překládán prostřednictvím protokolu SecureNAT do sítě Internet. Pokud není z důvodu chyby jedno z tunelových propojení k dispozici, je z rozhraní protokolu OSPF odebráno a přenos je směrován na dostupné tunelové propojení. Také plánujeme, že budeme tunelové propojení v rámci naší sítě VPN používat pro technologii Voice over IP, kterou nám zajišťuje společnost Shoreline, přičemž pro určování priorit přenosu se bude používat služba QoS společnosti Microsoft. Kromě povolení dat souborů a tiskových a ových dat, která jsou přenášena přes logická tunelová propojení mezi datovými centry a pobočkami, umožňuje síť VPN společnosti Avanade vzdáleným uživatelům připojení k interním zdrojům dat společnosti. Až 90 procent našich zaměstnanců jsou mobilní uživatelé a naše nové řešení jim umožňuje se snadno připojovat k síti společnosti, řekl Craig Nelson. Do klientských počítačů stačí instalovat pouze malý balíček, který lze snadno vytvořit prostřednictvím součásti Správce připojení serveru Windows 2000 Advanced Server a který zajišťuje bezproblémovou integraci s operačním systémem. Díky flexibilitě protokolu PPTP lze také pracovat přes několik bran firewall NAT, včetně serveru ISA Server. 3.2 Komplexní brána firewall společnosti Výběr řešení ISA Server také umožnil společnosti Avanade implementovat nejmodernější řešení brány firewall zabezpečující data společnosti. Díky ISA Server jsme byli schopni snadno implementovat bránu firewall s vysokou úrovní zabezpečení a kontrolou v aplikační vrstvě, uvedl Craig Nelson. ISA Server dále poskytuje filtrování paketů a kontrolu pro obvykle obtížné protokoly, jako například RPC a H.323, což umožňuje zabezpečení na daleko vyšší úrovni. Dalšími funkcemi brány firewall serveru ISA Server je přispívání ke schopnosti společnosti zajišťovat zabezpečené prostředí. Používáme funkce detekce narušení zabezpečení k protokolování prověřovaných portů 256 Security and Protection of Information 2003

37 a pokusů o prohlížení obsahu sítě, vysvětlil Craig Nelson. Tato data si můžeme dát do souvislosti s podezřelým chováním, ke kterému může následně dojít. 3.3 Zabezpečené publikování na server Vzhledem k tomu, že ISA Server zajišťuje zabezpečené publikování na server, může každá pobočka společnosti Avanade bezpečně publikovat obsah tak, aby k nim měli přístup zákazníci společnosti Avanade přes Internet. ISA Server nám umožňuje využívat výhod necentralizovaného modelu publikování, přičemž je stále zajištěna velmi vysoká úroveň zabezpečení, řekl Craig Nelson. Nadále můžeme používat ověřování a filtrování dat. Publikovaný obsah však bude možné prohlížet z klientských počítačů, aniž by uživatelé museli umísťovat své servery do datových center. 3.4 Snížení požadavků na šířku pásma a zvýšení výkonnosti uživatelů Společnost Avanade využívá na ISA Server velmi výkonnou funkci mezipaměti, která umožňuje ukládat do mezipaměti přenos přes webové servery a servery FTP v bránách sítí jednotlivých umístění, což snižuje přenos dat v síti WAN společnosti. Kromě poskytování přístupu k síti VPN analyzují servery ISA v každém umístění data, přičemž potřebná data ukládají do mezipaměti, což snižuje zatížení našich sítí WAN, vysvětlil Craig Nelson. To nám umožňuje minimalizovat požadavky na šířku pásma, protože je snížen celkový objem dat přenášených přes Internet a to jak na externí servery, tak mezi umístěními v síti WAN naší společnosti. Funkce ukládaní transparentních dat do mezipaměti serveru ISA Server nám umožňuje pracovat se scénářem využívajícím protokol SecureNAT, aniž bychom museli využívat místní servery proxy vyžadující další nastavení prohlížeče a dále zajišťovat uživatelům přístup ke všem protokolům. 3.5 Jednotné prostředí pro správu Možnost integrace serveru ISA Server se službou Windows 2000 Active Directory umožnila společnosti Avanade implementovat snadno spravovatelné řešení zajišťující v celé organizaci síť VPN, zabezpečenou práci s daty a využívání dat z mezipaměti. Centralizovaná správa zásad, kterou ISA Server společně se službou Active Directory zajišťuje, představuje opravdovou výhodu, uvedl Craig Nelson. Velice snadno a rychle lze mezi organizacemi zavádět zásady pro brány firewall. Zásady pro pole organizace zase zajišťují konzistentní hranice sítě mezi všemi servery. Všechny brány firewall lze sledovat z centrálního umístění prostřednictvím konzole MMC obsahující různé kategorie. Konzole obsahuje i Terminálovou službu systému Windows 2000, která slouží ke vzdálenému přístupu na podrobné úrovni. Jako velmi užitečné se ukázaly i integrované funkce ISA Server pro vytváření různých zpráv a sestav. Lze zpracovávat podrobné sestavy umožňující analyzovat přenos dat a rozpoznat zneužívání zdrojů dat. 4 Proč si společnost Avanade zvolila řešení Microsoft Společnost Avanade si vybrala Microsoft ISA Server 2000, protože umožňoval společnosti splnit řadu podnikových požadavků v podobě jediného, integrovaného a nenákladného řešení. Vybrali jsme si ISA Server z řady důvodů, včetně funkcí VPN, práce s daty v mezipaměti, publikování na server a funkcí správy celé organizace, řekl Craig Nelson. Byli jsme schopni nainstalovat ISA Server na našich existujících serverech VPN a dosáhli jsme tak komplexního řešení, aniž bychom museli pořizovat další hardware. S tím, jak naše potřeby porostou, nám budou funkce serveru ISA Server pro komplexní správu a vytváření polí umožňovat instalaci a konfiguraci dalších serverů, přičemž bude stále zajištěna vysoká úroveň dostupnosti a zabezpečení. Nakonec je třeba uvést, že úspěšná implementace serveru ISA Server ve společnosti Avanade staví tuto konzultační společnost v oblasti integrace technologií do silné pozice. Tento produkt jim totiž bude umožňovat plnit všechny požadavky zákazníků. Poté, co jsme úspěšně implementovali naše vlastní řešení pro globální propojení společnosti pomocí serveru ISA Server, jsme nyní připraveni toto řešení doporučovat dále našim zákazníkům a umožnit jim využívat stejné výhody, uvedl Craig Nelson. Security and Protection of Information

38 5 Přehled řešení 5.1 Profil Společnost Avanade poskytuje nejmodernější služby integrace technologií společnostem Global 2000 a tzv. tvůrcům trhu (market makers). Dodává řešení spojující hluboké technické znalosti a prověřené integrační procesy s možnostmi technologií od společnosti Microsoft určených pro velké firmy. 5.2 Scénář Rychle se rozvíjející globální společnost Avanade požadovala nenákladnou, bezpečnou a flexibilní strategii připojení WAN, která by umožňovala propojit všech jejích 17 poboček. 5.3 Používaný software společnosti Microsoft Microsoft Windows 2000 Advanced Server Služba Windows 2000 Active Directory Microsoft Internet Security & Acceleration (ISA) Server 2000 Enterprise Edition 5.4 Výhody Zabezpečené a dostupné řešení sítě VPN umožňující propojit všechny pobočky a datová centra společnosti Avanade po celém světě. Snížené požadavky na šířku pásma a lepší výkonnost uživatelů prostřednictvím funkcí serveru ISA Server zajišťujících práci s transparentními daty v mezipaměti. Zabezpečené publikování obsahu místními pobočkami tak, aby k obsahu měli přístup zákazníci. Servery řady.net Enterprise Server představují komplexní serverové aplikace pro vývoj, zavádění a správu integrované komunikace přes web nové generace, která překračuje hranice dnešní komunikace izolovaných webových serverů. Při vývoji těchto serverů byl kladen důraz na funkce důležité pro chod podniků, zajišťování rychlého uvedení na trh a také na rozšiřitelnost, spolehlivost a snadnou správu pro globální organizace využívající web. Zajišťují interoperabilitu pomocí otevřených webových standardů, jako je například jazyk XML (Extensible Markup Language)..NET Enterprise Servery jsou klíčovou součástí širší strategie.net společnosti Microsoft, která umožňuje využívání modelu práce s počítači v distribuovaném prostředí (DCE Distributed Computing Environment) na základě protokolů a standardů sítě Internet. Výsledkem by měl být převrat ve způsobu vzájemné interakce počítačů. 258 Security and Protection of Information 2003

39 Proaktivní ochrana McAfee: Vyspělá technologie pro zabezpečení firem Vladimír Brož Network Associates 1 Úvod Proaktivní ochrana je integrovaná strategie McAfee Security, která má za úkol chránit firmy proti novým ohrožením s co největším časovým předstihem. Pomáhá tak IT manažerům rychle uzavřít Window of Vulnerability (Okno zranitelnosti) v momentě napadení. Doplňuje tradiční techniky kontroly podpisu použité ve známém antivirovém řešení a prostupuje celou řadu produktů McAfee Security. 1.1 T-Minus 6 měsíců: Posouzení zranitelnosti viry a zablokování přístupu ke klientovi První zásada, kterou je nutné se zabývat při zabezpečení firem: úspěšné zvládnutí ohrožení předpokládá kvalifikování a vyhodnocení ohrožení; před ustanovením strategie zabezpečení je nutné shromáždit všechna data o všech přístrojích napojených na síť a odhadnout jejich zranitelnost vůči útoku. To je možné dosáhnout díky McAfee ThreatScan, který poskytuje proaktivní detekce zranitelnosti viry pro stolní počítače (desktopy) a servery. ThreatScan proaktivně chrání síť proti kombinovaným hrozbám plánovanými kontrolami a aktualizací podpisů, proaktivně kontroluje a podává zprávy o nechráněných, neřízených, infikovaných a vůči virům zranitelných počítačích. To vše bez nutnosti zásahu odborníka na zabezpečení. Napomáhá tak firmám dosáhnout vyšší úrovně protivirové ochrany a strategie souladu identifikováním zranitelných přístrojů, operačních systémů a aplikací, odhaluje nechráněné a poškozené přístroje, které otevírají cestu pro infikování sítě. ThreatScan umožňuje firmám přechod od pouhé reakce na aktivní předcházení kombinovaným ohrožením a pomáhá zmenšit Window of Vulnerability (Okno zranitelnosti). ThreatScan umožňuje naplánování kontroly přezkoušením přístrojů napojených na síť a využitím nainstalovaných identifikátorů řízených McAfee epolicy Orchestrator (epo). Použitím epo mohou být identifikátory ThreatScan snadno rozmístěny do strategických míst sítě korporace. Tímto způsobem umožní vzdálenou správu a kontrolu nových přístrojů. Obr.1: McAfee Security proaktivní ochrana paralelní s oknem zranitelnosti může dramaticky zmenšit škody způsobené viry a ostatními zlomyslnými hrozbami zabezpečení Security and Protection of Information

40 epolicy Orchestrator je řídící platforma McAfee pro monitorování širokého zabezpečení firem a rozmístění řešení, která převádí velké množství dat na akční informace pro firmu. epo zprůhledňuje síť firmy a umožňuje téměř okamžité aktualizování celé sítě. Díky epo komplexní strategii managementu, grafickému podávání zpráv a rozmístění softwaru mohou administrátoři řídit a ovládat ThreatScan a McAfee Desktop Firewall. Zároveň mohou vytvářet detailní grafickou zprávu o produktech McAfee Security, Symantec Desktop a antivirových produktech pro servery. epolicy Orchestrator pro jeden server může být využit až pro uživatelů. Okamžitě reaguje na viry a kombinovaná ohrožení konfigurováním AutoUpdate automatické aktualizace celé firmy, manuální kontrolou a vytvořením detailních zpráv, které poukáží na místa vstupu a schéma rozšiřování. Tato koordinovaná reakce urychluje proces aktualizace a pomáhá zastavit šíření ohrožení zavřením Window of Vulnerability (Okna zranitelnosti). epolicy Orchestrator též umožňuje zvládat kombinované hrozby na celém internetu, včetně vzdálených uživatelů či poboček, dokonce i v případě, kdy nejsou napojené na síť korporace. Jakékoliv připojení na internet dovoluje identifikátoru a serveru epolicy Orchestrator komunikovat a sjednotit management mobilních uživatelů. Dokonce i konzole administrátora může být připojena dálkově. Uzavřením přístupu ke klientovi spojuje McAfee Firewall prvotřídní ochranné zabezpečení stolních počítačů a softwarové řešení pro identifikaci neoprávněného proniknutí. Desktop Firewall umožňuje kontrolu veškerého provozu přicházejícího a odcházejícího z firmy, zamezuje přístup a spojení založené na centrálně definované strategii pro adresy, porty, protokoly a aplikace. Desktop Firewall chrání stolní počítače proti zlovolným kódům a hackerům pomocí kombinace prvotřídního ochranného zabezpečení pracovní plochy a softwarového řešení identifikace proniknutí. Funguje jako dopravní policista pracovní plochy počítače, který umožňuje spojení známým uživatelům a zamezuje přístup pro hackery, zlovolné kódy, DDoS (Distribuované popření služby) a zranitelné nebo neautorizované aplikace. IDS (Systém pro zjišťování neoprávněného proniknutí) představuje první linii obrany blokující běžné hackery, Trojské koně, DDoS a ostatní ohrožení, zatímco ochranné zabezpečení představuje druhou linii ochrany s robustním balíkem filtrů a posílením strategie na úrovni aplikací. Desktop Firewall snižuje Window of Vulnerability (Okno zranitelnosti) uzavřením stolních počítačů a serverů již před napadením. Jednou z nejvíce oceňovaných charakteristik Desktop Firewall je snadné a vizuální řízení. Díky epolicy Orchestrator může Desktop Firewall provádět operace viditelné pro uživatele, kontrolovat, co přichází a odchází z počítače. Následně je schopen zablokovat spojení dle strategií pro adresy, porty, protokoly a aplikace. Tyto strategie mohou být předurčeny uživatelem nebo administrátorem. Desktop Firewall chrání stolní počítače před útoky zevnitř i mimo síť korporace a může zabránit zlovolným kódovým útokům jakmile se objeví v dosahu firmy. Desktop Firewall odhaluje neoprávněné proniknutí a spojení aplikací, zablokuje je, zaznamená událost a podá zprávu administrátorovi skrze epolicy Orchestrator. 1.2 T-Minus 3 měsíce: Vyspělé techniky detekce nových ohrožení a ochrana před spamy Dnešní ohrožení útočí s překvapující rychlostí a dravostí. Firmy jsou zranitelné v každém okamžiku. Vyspělé heuristické a generické metody detekce zabudované ve všech antivirových produktech McAfee Security minimalizují riziko dodáním vyspělé ochrany před 40 procenty nových, neznámých ohrožení zmenšením Window of Vulnerability (Okno zranitelnosti). Přísné, nezávislé testy a reálné použití prokázaly, že vyspělé metody detekce McAfee Security přináší úspory, vyřazují nutnost pohotovostních virových stahování dat a jejich distribuci, prostoje uživatelů a náklady na odvirování. Heuristická analýza zahrnuje vyzkoušení kódu v souboru a určení, zda obsahuje instrukce podobné viru. Pokud počet viru podobných instrukcí překročí definovanou hranici, jsou instrukce označeny za pravděpodobný virus. Zákazník je poté požádán o předložení vzorku pro další analýzu. Heuristické vyhledávání McAfee Security je vyladěno tak, aby se vyhnulo falešnému poplachu. Generické vyhledávání a odvirování zahrnuje pečlivé vytvoření definice viru tak, aby se odhalily i různé varianty určité virové skupiny. Vzhledem k tendenci úspěšné viry opakovat, jsou zákazníci McAfee Security, pokud se další variace viru objeví, s velkou pravděpodobností již chráněni. Generická detekce kontrolovaná prostřednictvím DAT (virové definování souboru ) zároveň poskytuje odvirování. Generické a heuristické techniky se navzájem doplňují, společně poskytují prvotřídní proaktivní detekci virů a umožňují řešení McAfee Security s předstihem identifikovat nová ohrožení. Vzhledem k tomu, že zlovolné kódy mohou být transportovány několika způsoby - soubor.exe, skript, dokonce i jednoduchá textová zpráva obsahující hoax (podvodný poplach), která marní váš čas, je základem filtrace elektronické pošty. Přístroje McAfee WebShield integrují antivirus a software pro management obsahu s rozšířeným hardwarem, jehož schopnosti filtrovat obsah mohou zkontrolovat předmět, obsah zprávy, 260 Security and Protection of Information 2003

41 název přiloženého souboru, typ a velikost každého SMTP (jednoduchý protokol elektronické pošty) u. Zároveň umí zkontrolovat obsah přiloženého souboru. Řešení WebShield jsou velmi přizpůsobivá. Umí zkontrolovat až ů za hodinu nebo 2 MB provozu HTTP za vteřinu. Hromadné aplikace WebShield mohou být automaticky instalovány a sdíleny, jsou snadno dostupné a poskytují možnost obnovy po selhání. WebShield tak poskytuje vynikající obranu proti spamu, který je rostoucím celosvětovým problémem pro firmy na celém světě. Vlastnosti aplikace WebShield zabezpečují, aby organizace oproti své vůli spam dále šířila. Podpora právního odvolání může připojit standardní odvolání na konec odcházejícího u a podpořit tak legální a bezpečnostní strategie firmy. Dodatečnou protispamovou detekci pro servery a stolní počítače můžete získat u souboru produktů McAfee SpamKiller. SpamKiller má systém hodnocení, který zaznamenává y na základě série testů. Je založený na SpamAssassin, který má vysoké schopnosti detekce spamů kombinované s nízkou odchylkou v chybném hodnocení. Je naprosto přesný, což mu umožňuje odchytit více než 95 procent spamů ještě před schránkou s chybou v detekci menší než 0.05 procent. Produkty řady SpamKiller posilují proaktivní přístup McAfee Security s pětiúrovňovým přístupem k detekci. 1.3 T-Minus 0 měsíců: Integrovaná ochrana na několika frontách Při výskytu viru je nutná rychlá reakce. McAfee Security poskytuje základnu rychlé odezvy, která je součástí proaktivní strategie managementu při ohrožení. T-minus 0 McAfee Security poskytuje několik zařízení pro rychlé odvrácení ohrožení zavřením Window of Vulnerability (Okno zranitelnosti): Internetová hlídka Rychlé doručení definice viru Ochrana mobilních přístrojů Management v momentu napadení Internetová hlídka vloží kontrolní schopnosti McAfee Security (získaly několik ocenění) do zabezpečovacího zařízení firmy a neustále (24 hodin denně, 365 dní v roce) sleduje výskyt zlovolných kódů na internetu. Využívá heuristických a generických detekcí při vyhledávání nových ohrožení. 1.4 AVERT Rychlé dodání definice viru je poskytováno prostřednictvím McAfee AVERT (AntiVirus Emergency Response Team), což je světová vedoucí výzkumná organizace. AVERT tým se skládá z více než 90 lidí v 6 různých kontinentech. Je zodpovědný za poskytování pomoci a řešení při závažných kalamitách jako LoveLetter, CodeRed, Nimda a SQL Slammer. Potenciální ohrožení, která jsou postoupena McAfee AVERT jsou zpracovávána s mimořádnou rychlostí a naléhavostí. Více než 40 procent vzorků dodaných AVERT je automaticky zpracováno. To zahrnuje analýzu revolučním systémem WebImmune AVERT. Uvedený na trh v září 2000 (první na webu založený skener virů), WebImmune připravuje analýzu a řešení v reálném čase. Provádí vyspělou automatickou analýzu vzorků během 90 vteřin. Jakmile se objeví nové ohrožení, AVERT rychle dodá definici viru a pomáhá rychle uzavřít Window of Vulnerability (Okno zranitelnosti). McAfee AVERT drží zatím neporazitelný rekord v rychlosti odezvy na nová ohrožení. Je první organizací, která reagovala na 75 procent hlavních ohrožení bezpečnosti, která se objevila v roce AVERT dodává pohotovostní definici viru hlášení em a základní informace o povaze nového ohrožení. V případě červa SQL Slammer, tak jako v případě ostatních velkých kalamit, pokročil McAfee AVERT o krok dále. Vytvořil McAfee Stinger, skener dle požadavků, speciálně vytvořený pro SQL Slammer. Můžete si ho stáhnout z webových stránek AVERT ( Tento skener (650 kb) funguje buď zcela samostatně nebo prostřednictvím epo, které může dočasně skener nainstalovat, kontrolovat uzly a odvirovat počítač. Stále větší roli v minimalizování Window of Vulnerability (Okno zranitelnosti) hraje také ochrana mobilních přístrojů. Čím více uživatelé spoléhají na smart telefony, PDA a ostatní bezdrátové přístroje, tím více se zvyšuje riziko infikování firmy virem. VirusScan Wireless chrání před infikováním pomocí komplexní ochrany pro široké spektrum kapesních přístrojů působících na platformách PalmOS, PocketPC, Windows CE a Symbian EPOC. Sítě firem se nacházejí Security and Protection of Information

42 v největším nebezpečí, když uživatelé synchronizují své PDA s PC. Tomuto nebezpečí může zabránit VirusScanWireless, který se během synchronizace aktivuje a zkontroluje tak všechny soubory a možnosti virové infekce. VirusScanWireless také zahrnuje kontrolu přístroje PalmOS. Management při napadení je třetím a závěrečným elementem strategie McAfee Security, který pomáhá zavřít Window of Vulnerability (Okno zranitelnosti). McAfee Outbreak Manager analyzuje aktivity v přístupové bráně nebo ovém serveru, filtruje ový provoz dle specifických charakteristik a odvrací útok předtím, než se mu podaří proniknout antivirovou obranou firmy. Outbreak Manager je součástí McAfee Security antivirových skenerů založených na u, včetně WebShield SMTP (jednoduchý protokol elektronické pošty) a produkty GroupShield. Je to systém managementu napadení založený na pravidlech, který dovoluje administrátorům stanovit několikero pravidel specifických pro individuální prostředí. Každé pravidlo má 4 součásti: spouštěč, práh, reakci a akci (akce). Může být např. stanoveno pravidlo pro spuštění v případě, že server přijme 24 stejných příloh během 20 minut. Po aktivaci spouštěče reaguje Outbreak Manager dvojím způsobem: automaticky nebo manuálně. Automatická odezva zahájí první, již předem stanovenou akci. Jestliže i po té je spouštěč stále aktivován, Outbreak Manager zahájí další předem konfigurovanou akci. Manuální odezva vybídne administrátora k provedení předem stanovené doporučené akce. Outbreak Manager také umožňuje kombinaci těchto dvou možností. Pokud pevně stanovíme pracovní dobu administrátora, může být determinováno pravidlo, které spustí manuální odezvu v těchto hodinách a mimo ně pak odezvu automatickou. 2 Proaktivní ochrana v akci Následující příklad uvádí, jak produkty McAfee Security poskytují integrovanou proaktivní detekci ohrožení a zablokování kombinované hrozby Bugbear, které se v roce 2002 objevilo ve zprávách po celém světě. 1. krok: Detekce ohrožení Bugbear je hromadný , který se snaží využít zranitelnosti Microsoft Internet Explorer5 konkrétně: nesprávná MIME hlavička může způsobit, že IE spustí ovou přílohu. To zaručuje automatické zavádění Bugbearu již ve chvíli, kdy uživatel pročítá infikovaný - i bez dvojkliknutí na infikovanou přílohu. Skenery pro internetové přenosové brány McAfee Security objeví vzorky využívající této zranitelnosti jako Exploit-MIME.gen nebo Exploit-MIME.gen.exe užívající 4213 DAT nebo vyšší. Tyto produkty byly schopné odhalit toto ohrožení již 2 měsíce předtím, než se objevilo. McAfee ThreatScan také obsahuje detekci pro tento typ zranitelnosti. 2. krok: Ochrana proti útoku Jakmile se Bugbear zavede, otevře hostující port na počítači oběti a hledá dlouhý seznam antivirových a bezpečnostních procesů. Pokud je najde, ihned je vyřadí z provozu. Při napadení Bugbear nebo při podobném kombinovaném útoku poskytují aplikace McAfee Desktop Firewall a ThreatScan efektivní způsob ochrany pro firmy a společnosti. Desktop Firewall může zablokovat port, zatímco ThreatScan identifikuje přístroje sítě, které nejsou chráněny antivirovými programy a upozorní administrátora na jejich zranitelnost. 3. krok: Zablokování rozšíření ohrožení Pro rozšiřování po síti využívá Bugbear otevřeného sdílení. McAfee může toto ohrožení zastavit pomocí ThreatScan, který identifikuje otevřená sdílení na síti a Desktop Firewall, které umožní zablokovat komunikaci na síti. Bugbear navíc používá svůj vlastní SMPT engine a sám se hromadně rozešle. Není závislý na Microsoft Outlook. Desktop Firewall umožní administrátorovi předejít rozšíření Bugbear zúžením možnosti rozeslání u pouze na Outlook. Při svém rozšiřování používá Bugbear náhodná témata pro záhlaví u a názvy - proto pravidla obsahu proti tomuto ohrožení nepomohou. GroupShield a WebShield však mohou zablokovat specifické rozšíření souboru. V případě Bugbear a podobných ohrožení zablokování.exe souborů zastaví ohrožení u přenosové brány, oddělí klíčovou cestu infekce a omezí proniknutí obranou korporace. 4. krok: Uzavření Window of Vulnerability (Okna zranitelnosti) Rafinovanost kombinovaných ohrožení jako Bugbear, Klez, CodeRed, Nimda a SQL Slammer rychle zahltí pracovníky IT, kteří mají omezené časové možnosti a zdroje. Pokusy reagovat manuálně jsou rychle udolány rychlostí a dravostí ohrožení. Proaktivní obrana McAfee Security je integrovaný, nejrychlejší a nejefektivnější způsob uzavření Window of Vulnerability (Okno zranitelnosti), zajišťující rychlý a trvalý výkon počítačové infrastruktury v rámci firmy. 262 Security and Protection of Information 2003

43 Bezpečné uložení klíčů Patrik Mičech RAISA, spol. s r. o. Plynárenská 671, Kolín 1 Marketingová studie K myšlence vývoje a výroby úložny klíčů jste nás přivedli Vy, naši zákazníci. Instalovali jsme Vám rozsáhlé zabezpečovací, požární, kamerové a docházkové systémy, ale nemohli jsme Vám nabídnout skutečně profesionální plně elektronický systém na ukládání klíčů, zbraní a mobilních telefonů, protože takový systém nikdo nevyráběl. Rozhodli jsme se takový systém vyvinout a vyrobit. 2 Vývoj V lednu roku 1999 jsme sestavili tým odborníků s bohatými zkušenostmi s vývojem elektronických zařízení a bezpečnostních technologií. Jejich úkolem bylo připravit výrobek, který bude splňovat nejpřísnější normy ČSN, ISO, NBÚ a bude mít životnost minimálně 15 let. Oslovili jsme přední české a zahraniční společnosti vyrábějící elektronické součástky, software a v neposlední řadě trezory. Po náročných jednáních techniků, obchodníků a výrobců se začal rýsovat prototyp s názvem úložna klíčů UK 20. První vyrobená úložna UK 20 nás všechny velmi mile překvapila a dala nám důkaz, že naše snažení nebylo marné a Vy naši partneři budete spokojeni. Ale žádný vývoj není tak snadný, abychom i my ještě nemuseli trávit další měsíce zkouškami a testováním. Nakonec jsme uspěli a úložna klíčů splňuje normy ČSN, je certifikovaná Vojenským technickým ústavem elektrotechniky a firmou Trezor- test, je vyráběna dle standardů ISO Obr 1: Vývoj mechanické části úložny klíčů 3 Parametry systému Co je vlastně úložna klíčů? Zařízení, které umožňuje bezpečné uložení klíčů s možností evidence jejich výběru, uložení a přítomnosti klíčové schránky a umožňuje výdej a příjem klíčových schránek ve stanoveném období. Mechanické uložení klíčů je řešeno pomocí kovové schránky s pečetidlem. Tato se potom ukládá do určené kovové zásuvky, která je elektromechanicky zajištěna společně s ostatními v celokovové skříni. Elektronicky je evidováno otevření a zavření zásuvky a přítomnost nebo nepřítomnost vnitřní kovové schránky s klíči. Security and Protection of Information

44 Na základě identifikace uživatele (po přiložení platné bezkontaktní karty a potvrzení zadáním PIN-kódu) se po zvolenou dobu uvolní příslušné zásuvky (optická signalizace doby uvolnění u příslušné zásuvky pomocí svítící diody), ze které uživatel vyjme zapečetěnou schránku s klíči. Po ukončení manipulace s klíči je uživatel vrátí zpět do schránky, schránku zapečetí svým osobním pečetidlem a na základě přiložení karty a zadání PIN-kódu ji vrátí zpět do zásuvky. Veškeré časové údaje o pohybu schránek jsou zaznamenávány a určeny pro další zpracování (tisk, uložení v PC). Systém umožňuje různá časová nastavení pro výběr a uložení schránek a alarmové stavy při jejich nedodržení. Totéž se projeví při neoprávněné manipulaci nebo při pokusu o násilné otevření zásuvky. Zařízení je možné připojit do EZS, zajišťující ostrahu prostoru nebo objektu. Systém má zálohované napájení pro případ úmyslného nebo neúmyslného přerušení dodávky napětí rozvodné sítě. Pro případ nouze může oprávněná osoba zadat osmimístný kód pro odblokování všech schránek. Celý systém je ovládán řídící jednotkou, která ovládá elektromagnetické zámky jednotlivých zásuvek a snímá pomocí zásuvkových kontaktů přítomnost nebo nepřítomnost schránky s klíči. Nedílnou součástí zařízení je snímač karet, napájecí zdroj 230V a zálohovací zdroj UPS, včetně baterie. Celý systém doplňuje klávesnice s displejem a vytváří tak ucelenou samostatnou autonomní jednotku plnící popisované funkce. Pomocí klávesnice se nastavuje celý systém. Obr 2: Úložna klíčů UK20 4 Zkušenosti Po instalaci desítek kompletních systémů UK 20, UK 7 a UT 20 jsme získali obrázek o tom, co Vám náš výrobek přináší za výhody, proto zmíníme několik konkrétních případů. Většina našich zákazníků v minulosti vkládala klíče do plechových krabiček s pečetí, které fyzicky hlídal dozorčí a zapisoval do knihy datum, čas a osobu, které klíče vydal. Jistě mi dáte zapravdu, že v době počítačů a GSM technologií to byl systém poněkud zastaralý. Navíc zde hrozilo selhání lidského faktoru. tento systém v podstatě neumožnil adresnou kontrolu, nemluvě o možnosti falšování a obcházení. Další negativa již není třeba uvádět, a proto popíšeme pozitiva. Nový systém zabezpečení s úložnou klíčů je následující. Do vestibulu budou Vám naši technici prověření Národním bezpečnostním úřadem nainstalují na zeď během 120 minut úložnu klíčů. Následně vyškolí Vámi pověřenou osobu, která bude plnit funkci administrátora a přidělí ostatním uživatelům jejich přístupové kódy včetně oprávnění, k jakým klíčům mají přístup. Samotní uživatelé tak po přiložení karty a zadání PIN kódu mají přístup pouze ke svým klíčům. Výběr a ukládání klíčů je on-line monitorován a archivován jak v úložně klíčů, tak na počítači dozorčího, vrátného apod. Díky tomu nemůže nastat situace, kdy se neví, kdo si klíče vyzvedl, v kolik to bylo hodin. Nemluvě o tom, že pokud by se někdo snažil získat klíče násilím, je spuštěn alarm, pokud někdo zadá opakovaně chybný PIN je okamžitě tato událost zaznamenána. Náš systém vedoucím pracovníkům umožňuje tzv. audit, což znamená, že si lze na monitoru prohlédnout například průběh událostí ve zvolený den, historii manipulace s klíči určitého uživatele apod. Zpětný kontakt na zásuvkách za dozorčího neustále kontroluje vložení schránek, například klíč číslo 16 od spisovny musí být uložen do hod., pokud se tak nestane, úložna klíčů o této chybě informuje dozorčího, v případě že ani dozorčí nereaguje je díky propojení 264 Security and Protection of Information 2003

45 úložny s EZS spuštěn alarm, eventuálně přivolána zásahová jednotka. Další možnosti a výhody systému Vám doporučujeme vyzkoušet osobně. Obr 3: Sestava 80-ti schránek (UK20 + UK30 + UK30) 5 Inovace Ve spolupráci s našimi zákazníky jsme se rozhodli pro inovaci úložny klíčů a pro výrobu úložny telefonů UT 20 a úložny zbraní UK 7. Všechny výrobky pracují na podobném principu, což umožňuje Vám coby uživatelům ještě kompaktnější ochranu vašich osob, vašeho majetku. Součástí inovace byl v neposlední řadě vývoj softwaru pro ještě jednodušší a komfortnější práci s výrobky naší firmy Raisa, spol. s r.o. 5.1 Vizualizace - software umožňující pohodlné ovládání úložen klíčů UK 20 a UK 30 včetně jejich programování a monitorování. Vizualizace je instalována v počítači dozorčího, vrátného nebo dispečera. Jedná se o software, díky kterému může zákazník v on-line přenosu sledovat stav v úložně klíčů a průběh událostí (počet vydaných schránek, počet volných schránek, pokus o nedovolený přístup, alarmní stav, zadání špatného PIN-kódu, atd.). Slouží mimo jiné k nastavování provozních parametrů, přístupových kódů, dobu výběru schránek, PIN-kódy, čísla karet, přidělování schránek jednotlivým uživatelům ze vzdáleného pracoviště. Vizualizace slouží také k archivaci událostí je možné vytisknout statistiku zvoleného uživatele, vybrané schránky, dne apod. Tento software splňuje požadovaná kritéria pro docházkové systémy. 5.2 Možnosti využití Policie, bezpečnostní služby, banky, elektrárny, plynárny a všichni zákazníci, kteří potřebují mít klíče v bezpečí a stálou kontrolu nad svými klíči a zaměstnanci. Security and Protection of Information

46 Obr 4: Hlavní obrazovka vizualizace 6 Úspěch Úspěch je slovo pomíjivé a je těžko měřitelný, přesto se domníváme, že instalace bezmála stovky úložen klíčů úspěchem je. Úložny slouží mimo jiné Armádě ČR, která je využívá hlavně z důvodu, že jsme splnili požadavky směrnice NATO AMSG 293F a C-M (2002)23 schválených vojenským výborem NATO pro fyzickou ochranu zabezpečených oblastí. Jako velikou čest si považujeme instalaci našeho systému v budově Generálního štábu AČR. Jako důkaz našich tvrzení o bezpečném a profesionálním uložení klíčů slouží fakt, že za celou dobu používání našich výrobků nebyl zaznamenán jediný případ překonání nebo dokonce neoprávněného vniknutí do úložen klíčů. Obr 5: Úložny klíčů v praxi 7 Budoucnost Budoucností a naším společným cílem bude chránit lidské životy a náš majetek pomocí nejmodernějších technologií proti všem extrémistickým a fanatickým skupinám, kterých bohužel přibývá. Raisa, spol. s r.o. proto pro Vás připravuje další výrobky, které budou pomáhat udržovat bezpečnost na vysokém standartu. 266 Security and Protection of Information 2003

47 Legato NetWorker automatický systém zálohování pro CSA Zdeněk Lerch Servodata s.r.o. Dolnoměcholupská 12, Praha 10 Abstract Zálohovací systém Legato NetWorker se z mnoha důvodů stává rychle standardem pro podnikové uživatele. Kombinace vlastností, které jsou podrobně diskutovány v tomto dokumentu, je příčinou toho, že zálohovací systém Legato NetWorker má jednu z nejvyšších a nejrychlejších návratností investic. 1 Úvod S vypuštěním Alouette v roce 1962 se stala Kanada po Rusku a Spojených Státech třetím státem ve vesmíru. Se zahájením páté dekády ve vesmíru, má Kanadský vesmírný úřad Canadian Space Agency (CSA) dlouhou tradici v atmosférickém a ekologickém výzkumu založeném na vesmírném zkoumání a vyvinul špičkovou technologii v telekomunikacích a přímo vysílajících satelitech. CSA působí jako partner USA, Ruska, Japonska a Evropské vesmírného úřadu (ESA) na Mezinárodní vesmírné stanici, a proniká do vysoce konkurenčního globálního trhu observatoří Země a vesmírné robotiky. CSA má přibližně 350 zaměstnanců, 225 dodavatelů a 50 studentů. Většina pracuje ve vesmírném středisku Johna H. Chapmana, vedení úřadu sídlí v Saint-Hubert, v Quebecu, v Kanadě. Dalších 80 lidí pracuje v kanadském hlavním městě Ottawě v laboratoři David Florida a na dvou dalších místech. Ve spolupráci s univerzitami, výzkumnými a vývojovými středisky odvětví a jinými vládními institucemi v Kanadě, přispívá CSA k posílení vedoucí pozice v oblastech Země a ekologie, vesmírné vědy, lidské přítomnosti ve vesmíru, satelitních komunikací a vesmírných technologií. 1.1 Náklady na prostoje $ CND denně CSA vytváří, shromažďuje a ukládá mnoho druhů citlivých a pro provozuschopnost nezbytných informací, které nesmějí být v určitých případech, jako např. když se provádějí experimenty ve vesmíru, nikdy zaměněny. Našimi nejcennějšími daty jsou vědecké výsledky, řekl Robert Dominque, vedoucí správce systému UNIX pro CSA, zejména data, která jsme obdrželi z vesmíru. Možná ztráta informací by nejen vážně ohrozila budoucí vesmírnou misi, ale mohla by negativně působit na vztahy, které máme s našimi partnery v oboru, v akademickém světě a s jinými státy. Proto je důležité ovládat přístup k těmto zdrojům dat s nejvyšší odpovědností. CSA měl potíže se zálohováním, ukládáním a vyhledáváním svých dat. Úřad používal různé nekompatibilní zařízení a metody zálohování, které měly za následek nepravidelné a nepředvídatelné zálohování jeho různých systémů. Během minulých několika let, pokračoval Dominique, jsme se potýkali s poruchou několika zálohovacích zařízení a nebyli jsme schopni přečíst data uložená na nekompatibilním médiu. V některých případech vyžadovala obnova dokonce i malého množství dat závažnou manipulaci trvající několik dní, jen aby se zjistilo, že původní záloha byla neúplná. Celková porucha našeho systému by měla finanční dopad v rozmezí kanadských dolarů za jeden den. Toto si jednoduše nemůžeme dovolit. 1.2 Legato NetWorker byl vybrán jako zálohovací standard pro CSA CSA chtěl nahradit svůj eklektický systém zálohování jednoduchým, standardizovaným systémem, který by byl kompatibilní s četnými desktopovými a síťovými operačními systémy Úřadu. Po prozkoumání a otestování předních systémů na trhu, si CSA vybral Legato NetWorker jako svůj standard pro zálohování v celé agentuře. Security and Protection of Information

48 Náš nový systém musel podporovat široké spektrum operačních systémů, vysvětloval Dominque. Při výběru Legato nás také ovlivnilo a bylo podstatné to, že je schopný podporovat operační systémy VMS a Mac. V době, kdy jsme přecházeli ze sítě Banyan Vines na Microsoft Windows NT a potřebovali jsme do budoucna zajistit kontinuitu, dokázal NetWorker dostát svým slibům a integrovat se do všech našich různých platforem a vykazovat vysokou výkonnost a vysokou spolehlivost, která nám dává pocit jistoty, že naše data budou pokaždé zálohována úplně a správně. 1.3 Automatizace umožňuje uživatelům obnovit data Panu Dominque se také líbí ta skutečnost, že zálohy NetWorker jsou prováděny automaticky bez lidského zásahu, a vše od zálohovacích serverů až po média pro ukládání (storage media) je standardizováno. NetWorker nám umožňuje pracovat po pracovní době, kdy jsou prováděny plánované zálohy bez nutnosti toho, aby správce dohlížel na průběh nebo vyměňoval pásky. Našim uživatelům se také líbí ta skutečnost, že mohou obnovit data tak, jak jim vyhovuje - i když my můžeme tyto události monitorovat a ponechat si jejich řízení. Tyto vlastnosti šetří čas našich správců, a uživatelé mají přístup ke svým souborům kdykoliv, ve dne v noci a o víkendech, vysvětloval Dominque. CSA provádí úplné zálohování v 28mi denním cyklu s diferenciálním zálohováním každý týden a ještě častějším inkrementálním zálohováním. Toto minimalizuje potřebu obnovy z pásky, zatímco je zajištěna dobrá integrita dat a zálohování všech nových a modifikovaných dat každý večer. Technologie Legato chrání tři datové zóny CSA. Jedna datová zóna, ve vedení v St-Hubert provozuje hlavní server NetWorker, Sun E450 připojený k StorageTek 9710 jukeboxu a pět mechanik DLT7000. Druhá datová zóna je umístěna v Ottawě v Laboratoři pro vesmírnou kvalifikaci a certifikaci (Space Qualification and Certification Lab), která provozuje NetWorker na stroji Dell s Windows 2000, který je připojen k dvěma jukeboxovým mechanikám DLT7000. Toto vybavení zálohuje také servery umístěné v menších kancelářích CSA v oblasti Ottawy. Poslední datová zóna je chráněna Sun E250 s 30ti páskovou mechanikou a dvěma jukeboxy DLT NetWorker hraje klíčovou roli v certifikaci ISO 9000 Systém NetWorker je kompatibilní s mnoha operačními systémy v CSA Windows NT, 95, 2000, SGI, Tru64, HPUX, Solaris, Linux, VMS a MacOS a zálohuje v Úřadu servery Oracle, servery SAP s obchodními moduly a mnoho aplikací: , finanční, vědecké, počítačové grafické programy (CAD), dálkové měření, simulační modelování, vědecký software, a jiné kancelářské aplikace. NetWorker hraje významnou roli v certifikaci úřadu normou ISO 9000 tím, že zálohuje a umožňuje rychlou obnovu technické dokumentace. Naše stěžejní informace jsou nyní zálohovány vysoce spolehlivým a automatickým systémem, tvrdí Dominque. Skutečnost, že nám NetWorker umožňuje kdykoliv přístup k datům nezměrně zvýšila důvěru našich uživatelů v technologii Legato a v schopnost našeho týmu informační technologie (IT) poskytnout služby na vynikající úrovni, která splňuje nebo překračuje jejich požadavky. Náš IT tým je nyní žádaný, a je vyhledáván pro poskytování řešení a služeb pro vyvíjející se a rozšiřující se klientelu uživatele. 1.5 NetWorker snižuje přesčasy zaměstnanců, vytváří úspory NetWorker také šetří čas a peníze CSA tím, že snižuje přesčasy svých zaměstnanců IT a eliminuje nutnost pohotovostního režimu pro základní kádr pracovníků. NetWorker vytváří úspory, poznamenal Dominque, snižováním počtu typů a množství pásek, které potřebujeme pro zálohování našich systémů. V návaznosti na to velice prospělo našim detašovaným pracovištím, že mohli snížit stav podpůrných zaměstnanců, potřebných k vytváření a zasílání kopií záloh do tří datových zón. Cítíme se jistí a bezpeční, když víme, že NetWorker chrání naše data. CSA plánuje k NetWorkeru přidat dvě Storage Area Networks (SAN) tak, aby mohl provádět zálohy bez serveru. Také se uvažuje o přidání Legato NetWorker Administration, aby bylo lépe řízeno prostředí NetWorkeru, obnovení elementárních funkcí systému, řešení pro zálohování přenosných PC a statistický modul. Jsme zjevně potěšeni řešením Legato a podporou, kterou jsme dostali, řekl Dominique. Těšíme se na dlouholetou spolupráci s Legato. 268 Security and Protection of Information 2003

49 1.6 Společnost CSA Kanadský vesmírný úřad Canadian Space Agency (CSA) má dlouhou tradici v atmosférickém a ekologickém výzkumu založeném na vesmírném zkoumání a vyvinul špičkovou technologii v telekomunikacích a přímo vysílajících satelitech. CSA působí jako partner USA, Ruska, Japonska a Evropské vesmírného úřadu (ESA) na Mezinárodní vesmírné stanici, a proniká do vysoce konkurenčního globálního trhu observatoří Země a vesmírné robotiky. 2 Daewoo Securities standardizuje pomocí LEGATO AAM řízení svých podnikových aplikací Aby zůstala finanční instituce konkurence schopná v současném vysoce technickém světě, musí nabízet svým zákazníkům 24/7 přístup k jejich portfoliům, a zachovávat 24/7 kontakt s globální obchodní komunitou. To je těžký úkol. Ale důsledky neposkytování takovéto úrovně služeb by mohly znamenat rozdíl mezi vedoucím místem v oboru a jen přežíváním. Naše předřazené a záložní aplikace jsou srdcem a duší našeho podnikání, řekl Yoo, Dong Sik, Deputy Manager, Daewoo Securities. Prostoje, natož ještě ztracená data, to jednoduše není pro nás možnost volby. To by mohlo mít za následek velmi nespokojené zákazníky a dokonce soudní proces. Proto jsme označili ochranu dostupnosti našich aplikací, databáze Oracle 8i, a dalších prostředků serveru nejvyšší prioritou. Daewoo chtěla spolehlivé, jednoduché řešení, které by poskytovalo vysokou dostupnost svých kritických úloh. Po prozkoumání několika vedoucích prodejců na trhu, si vybrali LEGATO AAM jako globální standard pro řízení svých aplikací v celém podniku. Vysoká výkonnost, prokázaná spolehlivost LEGATO AAM bylo přesně to řešení, které jsme hledali, řekl Yoo. Navíc výhodná cena a kvalita produktu LEGATO ho učinila mimořádně hodnotným. I když rozmístíme NetBackup od Veritase jako naše řešení pro zálohování, zvolíme si LEGATO AAM pro jeho nepřerušovanou kompatibilitu s NetBackup a jeho kvalitnějšími znaky a výhodami. 2.1 LEGATO AAM: Vysoká výkonnost, škálování, jednoduché řízení LEGATO AAM udrží servery a aplikace Daewoo dostupné během failover (automatické přebírání kyber kapacity v době výpadku), plánované systémové údržby a jiných kritických situací. Jakkoliv by měla nějaká aplikace selhat, LEGATO AAM ji okamžitě restartuje, při zajištění nepřerušení výkonnosti. Navíc se může během normální pracovní doby provádět údržba a obchodní operace. Naše data a aplikace jsou náš obchod, vysvětluje Yoo. Jsou vysoce důležité. V minulosti jsme měli výpadky programů. Naštěstí jsme problém rychle zachytili a napravili situaci, ale následky by mohly být karastrofické. Díky ochraně, kterou jsme dostali od LEGATO AAM, se již více neobáváme výpadků programů. LEGATO nám dává skutečný klid v duši. LEGATO AAM monitoruje podmínky, které předvídají poruchu, a když je to nutné, upozorní správce sítě tak, aby mohly být problémy ihned řešeny. LEGATO AAM má senzory, které umožňují správcům aktivně monitorovat status sítě, serverů, síťových propojovacích desek (NIC), disků a dalších. Informace o stavech shrnuté ve zprávě o dostupnosti aplikace (Application Availability Tracking Reports) zajišťují aktivnější řízení na úrovni servisní služby oproti reagování na jednu krizi za druhou. LEGATO AAM je také navrženo tak škálovitě, aby odpovídalo potřebám největší klastrové konfigurace, takže může růst spolu s Daewoo. Navíc jeho centrální řídící konzole umožňuje správcům Daewoo ovládat LEGATO AAM prakticky z jednoho PC. Inovativní schopnosti LEGATA nejen téměř garantují to, že jsou naše aplikace vždy online, řekl Yoo, ale šetří nám peníze na školení, podpoře a jiných provozních nákladech spojených s údržbou systému. 2.2 Vysoká dostupnost po celém světě LEGATO AAM poskytuje pro Daewoo ochranu jeho podnikání - sítě Solaris, která čítá 150 pobočkových kanceláří a uživatelů po celém světě. Kromě sítě Solaris, dodává LEGATO AAM automatizované řízení vysoké dostupnosti napříč různými platformami včetně Sparc, Solaris Intel, HP-UX, AIX, Linux a Windows NT/2000. Chrání podnikové aplikace, od ERP (plánování podnikových zdrojů) a u až po webové aplikace, a může řídit dostupnost programů a služeb uvnitř prostředí Storage Area Network (SAN), Network Attached Storage (NAS), Network File Systems (NFS), sdílených disků a umístění kopírovaných dat. Líbí se nám zejména modulový design produktu LEGATO AAM, který nám umožňuje udělit specifickým aplikacím, jako naší databázi Oracle 8i, vyšší úroveň dostupnosti, řekl Yoo. Security and Protection of Information

50 ManTech International, společnost informačních technologií a řešení technických služeb byla klíčovým partnerem při vývoji řešení pro Daewoo. Výsledné řešení je specificky navrženo tak, aby monitorovalo prostředky a funkce 15ti klíčových systémů a databáze Oracle 8i a aby zajistilo kontinuální dostupnost. Řešení také nabízí aktivnější monitorování a upozorňuje správce na situace předtím, než nastanou problémy. V případě poruchy také automaticky přemístí služby databáze do náhradního umístění. LEGATO AAM nám pomáhá zvýšit úroveň služeb, které můžeme nabídnout našim klientů po celém světě, poznamenal Yoo. Když nemají naši klienti přístup ke svým finančním datům, ztrácejí v nás důvěru a my ztrácíme obchod. V oboru jako je náš, kde jsou služby klíčovou diferenciací, nám dává LEGATO skutečně konkurenceschopnou přednost na trhu. 2.3 Společnost Daewoo Securities Daewoo Securities Company, Limited je firma s veškerými službami, zahrnujícími investice, bankovnictví a makléřství, která má vedení v Soulu, v Koreji. Daewoo je manažer emise cenných papírů a jeden z hlavních účastníků na virtuálních trzích. Díky své velikosti a pověsti, může společnost těžit se své široké základny investorů při stanovení optimálních cen nových emisí a uspokojit tak potřeby jak investorů tak emitentů. Kromě toho má Daewoo zaměstnanců jakož i největší zahraniční síť poboček ze všech korejských investičních bank (makléřství), které jsou umístěny v Bukurešti, Budapešti, Hong Kongu, Londýně, New Yorku, Šanghaji, Taškentu a Curychu. V roce 2001 uvedlo Daewoo celkové jmění ve výši 6,8 trilionu KRW/ 5,7 miliardy US$ Výzva Zajistit dostupnost24/7 pro kritické úlohy finančních aplikací. Zavést škálovatelné, cenově výhodné řešení dostupnosti. Rozvinout aktivnější systém, který předchází problémům předtím než nastanou Prostředí Databáze Oracle 8i T-Max Middleware Řešení LEGATO Automated Availability Manager (AAM) Obchodní hodnoty LEGATO AAM dodává řešení globální vysoké výkonnosti, spolehlivosti a jednoduchého řízení vysoké dostupnosti. Dosahuje růstu spolu s Daewoo a šetří peníze na školení, podpoře a jiných nákladech. Monitoruje klíčové funkce systému a aplikace, potom upozorní správce na kritickou situaci předtím, než způsobí poruchu. 270 Security and Protection of Information 2003

51 Řešení bezpečnosti perimetru pomocí iforce Solutions for Security Sun Microsystems 1 Úvod Všude tam, kde dochází k centrálnímu ukládání dat, dnes stojí na jednom z čelných míst otázka bezpečnosti. Není přitom podstatné, zda se jedná o prostředí intranetu, extranetu nebo Internetu. Distribuovaná podstata datových center s prakticky neomezeným počtem přístupových bodů vystavuje tato centra značnému nebezpečí. Jako příklady lze uvést neautorizovaný přístup některých uživatelů, úmyslné či náhodné poškození dat, šíření počítačových virů a útoky proti aplikačním programům nebo síťové infrastruktuře. Řešení bezpečnosti perimetru pomocí komplexu iforce SM Solutions for Security nabízí společnostem vícevrstvý systém, pomocí kterého lze účinně chránit jejich vitálně důležité sítě. Uvedené řešení spočívá v jednotném integrovaném přístupu, který usnadňuje aktivní ochranu, detekci a identifikaci známých i nových metod narušení nebo třeba počítačových virů, procházejících firewallem. iforce SM Solutions for Security se vyznačuje třemi klíčovými rysy: Prevence představuje první linii obrany, chrání webové servery před zneužitím, odstraňuje známé viry a zabraňuje zlovolným útokům. Vyžaduje zabezpečení daného výpočetního systému, správnou konfiguraci aplikačních programů, kontrolu odstranění známých slabin, stanovení nezbytného minima poskytovaných služeb a přípravu na reakci. Detekce znamená rychlé zjištění narušitelů, virů nebo červů, kterým se eventuálně podaří proniknout firewallem nebo mající původ v interní síti. Zjišťování probíhá na různých bodech sítě a v ní obsažených systémech. Výstupem je jednotný, centrální pohled, ve kterém se uplatní modularita, systém priorit a korelace událostí. Reakce jakmile je detekováno narušení, musí být přijato adekvátní opatření, jehož cílem je omezit riziko a zabránit dalšímu zneužívání systému. Dané řešení disponuje správními nástroji, které pomáhají rychle popsat přesnou charakteristiku útoku (včetně nového) a navrhnout vhodnou reakci na něj. Kromě toho lze nežádoucí aktivitu zpětně sledovat, což umožňuje bezpečnostním analytikům nalézt zdroj útoku. Komplex iforce SM Solutions for Security byl testován v prostředí serverů Sun, uzpůsobených pro umístění do stojanu a integrovaných tak, aby je bylo možno ovládat jedinou správní konsolou. Security and Protection of Information

52 2 Bezpečnostní problémy Mnoho společností považuje za postačující ochranu firewall a antivirový program. Pro menší instituce toto vyhovuje, avšak nikoliv už pro rozsáhlejší organizace se složitou strukturou a informační infrastrukturou. Ta zahrnuje počítačové sítě, databázové a webové systémy, sdílené prostředky jako systémy souborů a data v nich, elektronickou poštu tiskárny atd. Složitost ochrany spočívá v nemožnosti vymezit jednoznačně a dostatečně přesně jednotlivé prvky. Přístup k sítím musí být řádně chráněn před nevítanými uživateli, počítačovými viry a ostatními zlovolnými útoky. Útoky mohou být iniciovány prostřednictvím zákaznických připojení, Internetu nebo vnitřních prostředků; viry a ostatní nebezpečné programy také často pronikají prostřednictvím zdánlivě neškodných příloh elektronických dopisů. Současné viry, červi, monitorovací utility atd. se stávají stále sofistikovanějšími, proto společnosti potřebují svoji ochranu dokonalejší metody, nežli je zmíněný firewall ve vstupním bodu sítě. Aby bylo možno úspěšně se bránit proti stále agresivnějším útokům, jeví se v síťovém prostředí jako velmi vhodná distribuovaná ochrana, rozčleněná do více složek. 3 Řešení bezpečnosti perimetru Komplex iforce SM Solutions for Security integruje uživatelská rozhraní a bezpečnostní informace sedmi komponent v síti na jedinou centrální konsolu tak, aby bezpečnostní administrátoři mohli potenciální útoky rychle identifikovat, vyhledávat souvislosti a včas reagovat. Komplex iforce se skládá z těchto komponent: Operační systém Solaris TM 8, zodolněný doplňkem Solaris TM Security Toolkit firewall a virtuální privátní sítě - VPN/Firewall (Check Point Software Technologies, Ltd.) detektor virů (Trend Micro, Inc.) webový aplikační firewall (Sanctum, Inc.) detektor průniku (Recourse Technologies, Inc.) klamací a nástražný systém (Recourse Technologies, Inc.) nástroj pro kontrolu integrity souborů (Tripwire, Inc.) Bezpečnostně relevantní data poskytovaná všemi zdroji jsou předávána manažerskému programu společnosti e-security, Inc. Ten přiřazuje událostem priority a zobrazuje je; souběžně vyhledává mezi posloupnostmi událostí z různých zdrojů souvislosti. Cílem je poskytnout administrátorům včasnou výstrahu, takže mohou potenciální útoky zastavit ještě předtím, nežli způsobí škodu. Uvedené elementy vzájemně spolupracují tak, aby vytvořily pružnou a odolnou bariéru vůči útokům a průnikům. Tím doplňují ostatní bezpečnostní mechanismy, které představují např. autentizační a šifrovací systémy. 3.1 Operační systém Solaris 8, Solaris Security Toolkit (prevence) Komplex iforce SM Solutions for Security se opírá o operační prostředí Solaris zodolněné pomocí programového balíku Solaris Security Toolkit. Vyšší míry bezpečnosti je dosaženo pomocí sady skriptů, které zajišťují: blokaci nepoužívaných služeb zvýšení úrovně potřebných přístupových práv odstranění nadbytečných uživatelských účtů aktivaci potřebných prvků přidání výstražných textů, záhlaví apod 272 Security and Protection of Information 2003

53 3.2 Firewall a virtuální privátní sítě - VPN-1/Firewall-1 - Check Point (prevence, detekce, reakce) Programové vybavení VPN-1/Firewall-1 firmy Check Point patří ve své oblasti ke špičce. Chrání soukromí obchodních komunikací v Internetu a zabezpečuje kritické prostředky sítě vůči neautorizovanému přístupu. Nabízí úplnou a integrovanou platformu pro internetovou bezpečnost. 3.3 Detektor virů - InterScan VirusWall - Trend Micro, Inc. (prevence, detekce, reakce) Produkt InterScan VirusWall firmy Trend Micro prověřuje elektronickou poštu, webový provoz a soubory procházející přes bránu vedoucí do Internetu. Chrání společnost a pomáhá snížit celkové náklady na antivirovou ochranu, neboť zamezuje šíření virů do interní sítě. Díky centrální správě dovoluje administrátorovi kdykoli plně ovládat všechny aspekty ochrany před viry. Navíc je navržen tak, aby umožnil hladkou spolupráci s VPN- 1/Firewall-1 firmy Check Point. 3.4 Webový aplikační firewall - Web Application Shield Sanctum (prevence, detekce, reakce) Jedná se o modulární automatizovaný webový aplikační firewall, který poskytuje optimální ochranu pomocí blokování prakticky všech typů manipulací s aplikacemi uskutečňovaných pomocí klientů vybavených prohlížeči. Pracuje podle restriktivní zásady co není povoleno, je zakázáno. Tím je eliminována potřeba pravidelné aktualizace signatur nežádoucích činností. Jeho základní modul, Dynamic Policy Recognition Engine, na základě průběžného zkoumání odchozích HTML dat automaticky definuje pro každou stránku a pro každou relaci individuální postup. Následně pak vynucuje pro každou příchozí HTTP žádost soulad s tímto postupem, přičemž neoprávněné operace ihned blokuje. Web Application Shield snadno a bezpečně zvládá I složité a dynamické webové stránky, které používá klientská strana, a to včetně technologií jako jsou applety Java, Javascript, Flash, nebo komponenty ActiveX. 3.5 Detektor průniku a klamací systém - ManTrap, ManHunt Recourse (detekce, reakce) Firma Recourse Technologies nabízí dva neobvyklé programové balíky, ManTrap a ManHunt. První z nich, ManTrap, vytváří klamné kopie výpočetních systémů, což útočníkovi znesnadňuje zjistit, kde vlastně probíhá klíčová aktivita. Kromě toho ManTrap monitoruje a eviduje činnost útočníka, zaznamenává například jeho stisky kláves, spouštění procesů, časové údaje a vůbec vše, co by mohlo být podstatné pro budoucí šetření. Záznamy jsou elektronicky podepisovány. Druhý, ManHunt, v reálném čase detekuje, analyzuje a reaguje na útoky včetně průniků, interních narušení a útoků typu odepření služeb. ManHunt využívá pokročilou technologii zvanou Protocol Anomaly Detection, dovolující rozeznat jak známé typy útoků, tak i útoky nové. ManHunt dále agreguje údaje o útocích z celé sítě a v reálném čase zjišťuje korelace, čímž vytváří podmínky pro rychlý a přesný zásah. Funkce zvaná TrackBack pak umožňuje zpětnou rekonstrukci dějů. Data lze zachytit pomocí prvku ibutton, který může být za jistých okolností použit jako důkaz před soudem. 3.6 Nástroj pro kontrolu integrity souborů - Tripwire (detekce, reakce) Toto programové vybavení umožňuje sejmout a zaznamenat aktuální obraz adresářů a souborů, typicky konfiguračních. Jedná se o variantu techniky zvané hash (digest, otisk). Následně pak je možné tuto činnost zopakovat a porovnat aktuálně vypočtené výsledky s minulým stavem. Jsou-li zjištěny změny, je vyrozuměn administrátor, neboť existuje podezření na nežádoucí aktivitu. Tripwire poskytuje detailní informace o tom, které soubory byly přidány, zrušeny či modifikovány, takže lze velmi následky případného útoku rychle rekapitulovat. Kompletní řešení obsahuje komponenty Tripwire for Servers, Tripwire Manager (řídicí konsola) a Tripwire for Network Devices (pro routery, switche, firewally a další síťová zařízení). Security and Protection of Information

54 3.7 Security Event Correlation Manager e-security (detekce, reakce) Jedná se o centrální správní systém, který integruje všechny komponenty komplexu iforce Perimeter Security Solution do jediného logického celku. Dokáže zpracovávat rozsáhlé objemy dat a převést je do podoby vhodné pro další hodnocení. Díky použité korelační a expertní analýze splňuje bezpečnostní potřeby organizací, zajišťuje rychlé rozhodování o reakci na incidenty, odstraňuje slabiny v bezpečnostní infrastruktuře a pro hodnocení a porovnávání zavádí speciální bezpečnostní metriku. Vlajkovou loď mezi touto kategorií produktů představují produkty e-sentinel a e-wizard. Slouží pro sběr, centralizaci a stanovení priority dat pocházejících ze všech zdrojů a presentaci výsledků pomocí webového rozhraní, vše v reálném čase. Aby se usnadnila rychlá a správná reakce na incidenty, lze aktivovat obsáhlý a pružně modifikovatelný systém výpisů, nezbytných pro prosazení bezpečnostní politiky, bezpečnostní audit, identifikaci trendů a zranitelností a sloužících i jako podklady pro certifikační řízení. 4 Síťová architektura iforce Perimetr Security Solution je vyspělý, flexibilní systém, který může být snadno přizpůsoben nebo doplněn podle potřeb každého zákazníka bez ohledu na to, zda pracuje v prostředí intranetu, extranetu nebo Internetu. Na obrázku je uvedena varianta nasazení v iforce SM Ready Center firmy Sun. Toto řešení může posloužit jako návod pro budování vícevrstvého ochranného systému na úrovni sítí i hostitelských počítačů. Jednotlivé vrstev jsou řešeny vyhrazením samostatných serverů pro každou komponentu, zodolněním operačního systému a doplněním o kontrolu integrity. 274 Security and Protection of Information 2003

55 Podle potřeb daných rozsahem sítě se jako technické platformy doporučují: pro jednotlivé komponenty - servery Sun Fire TM V100, V120, 280R nebo V480 pro správní konsolu - pracovní stanice Sun Blade TM 100 nebo 2000 Pro každou z popsaných komponent je vyčleněn samostatný server (výjimku tvoří Tripwire, který je instalován na všech serverech a pracovních stanicích). Takto vzniklá architektura je značně otevřená a dovoluje modifikovat rozsah podle skutečných potřeb daného síťového prostředí. 5 Závěr iforce Perimetr Security Solution představuje praxí plně prověřené řešení, kombinující sedm bezpečnostních komponent. Ty disponují pokročilými preventivními a detekčními mechanismy a prostřednictvím centrální správní konsoly zajišťují rychlou reakci na všechny typy bezpečnostních hrozeb. Cílem řešení bylo vytvořit stavební bloky pro zabezpečení rozhraní sítí při zachování možnosti koexistence s již existujícími bezpečnostními mechanismy. Security and Protection of Information

56 276 Security and Protection of Information 2003

57 Zákaznická reference Symantec Norton Antivirus Corporate Edition 7.5, Norton Ghost 7.0 Symantec GmbH 1 Zákaznická reference - Eurotel Před pracovníky IT oddělení společnosti Eurotel stály dva úkoly: zvýšit odolnost podnikových počítačových sítí před viry a ostatními nebezpečnými programy, šířícími se stále víc prostřednictvím Internetu a elektronické pošty, a redukovat neproduktivní ruční práci, spojenou s údržbou a instalací pracovních stanic. Na co kladli v Eurotelu důraz při výběru antivirové ochrany? Soustředili se na aplikaci celofiremní antivirové politiky, která by zahrnovala všechny počítače a servery. Hlavními kritérii při hodnocení jednotlivých systémů byly centralizovaná správa serverů a častost aktualizací virových definic. Pan Michal Šmejkal, ředitel odboru PC LAN, k tomu řekl: Chtěli jsme se vyhnout produktům, které vyžadují ruční stahování virových řetězců a jejich distribuci na pracovní stanice. Preferovali jsme centrální systém se servery uspořádanými do stromové struktury a s automatickou obsluhou klientů. Řešení společnosti Symantec jsme si vybrali zejména díky vysoké častosti aktualizace virových definic. Vyhovuje nám, že se o nic nemusíme starat, protože server si sám stahuje aktuální definice a sám je i distribuuje. Bezobslužnost systému je pro nás velkou výhodou. Dodejme, že Symantec dává k dispozici svým zákazníkům nové virové řetězce každý týden, v naléhavých případech i častěji. Pracovníci IT oddělení Eurotelu pečují o velké množství počítačů a notebooků. Při takovém množství znamená tříhodinová instalace operačního systému a základních aplikací na jeden počítač velkou časovou ztrátu. Jestliže je třeba každou stanici přeinstalovat jednou za rok, pak celková časová náročnost údržby přesahuje 7500 hodin neboli 937 pracovních dní (více než dva a půl roku). Odstranění nebo alespoň podstatné zredukování ruční práce při poskytování provozní podpory našim uživatelům pro nás byl velmi důležitý úkol. Potřebovali jsme systém pořizování a distribuce instalačních obrazů na pracovní stanice a rozhodli jsme se pro produkt Norton Ghost. Díky němu se tříhodinová instalace jednoho počítače zkrátila na patnáct minut, řekl nám pan Michal Šmejkal. Eurotel koupil a implementoval několik tisíc licencí produktů Norton Ghost a Norton Antivirus Corporate Edition. Kromě těchto dvou systémů se v Eurotelu používá ještě produkt PCAnywhere. Nejdůležitějším produktem Symantec pro nás je antivirová ochrana, protože dnes jsou útoky hackerů a virů na denním pořádku. Chráníme proto i náš systém elektronické pošty. Ghost je na druhém místě, z pohledu provozu ne méně významném, dodává pan Šmejkal. Dodávku a implementaci provedla firma CS development, která má s realizací projektů pro Eurotel již dlouhodobou zkušenost. Pro nás je velmi důležitá pružnost a CS development je přesně taková společnost, které stačí zavolat a oni okamžitě reagují. My pak dostaneme pouze zprávu o řešení, odpovídá pan Šmejkal na otázku, proč dali přednost této firmě před giganty jako je IBM nebo Hewlett-Packard. Security and Protection of Information

58 2 Zákaznická reference - Ministerstvo financí 2.1 Daně bez virů. Ministerstvo financí je ústředním orgánem státní správy pro státní rozpočet republiky, státní závěrečný účet republiky, státní pokladnu České republiky, finanční trh, daně, poplatky a clo, finanční hospodaření, finanční kontrolu, účetnictví, audit a daňové poradenství, věci devizové včetně pohledávek a závazků státu vůči zahraničí, ochranu zahraničních investic, pro tomboly, loterie a jiné podobné hry, hospodaření s majetkem státu, privatizaci majetku státu, pro věci pojišťoven, penzijních fondů, ceny a pro činnost zaměřenou proti legalizaci výnosů z trestné činnosti. Na ministerstvu pracuje řádově zaměstnanců, objem jejich elektronické komunikace s okolním světem rozhodně není zanedbatelný. Navíc komunikace probíhá nìkolika kanály, jak pomocí klasického mailu, tak I http,http(s) kanálem. V rámci ministerstva samozřejmě existují souborové servery. V případě, že by došlo k průniku virů, mohla by hrozit nejen poškození či ztráta dat a ochromení poskytovaných služeb, ale i zhroucení operačních systémů,databází, přetížení komunikačních systémů či únik dat. Ten by mohl vést ke značným škodám: představte si například únik části databáze daňového systému. Jak je zajištěna jeho antivirová ochrana? Za klíčové požadavky považuje ing. Jan Fliegl z MF, možnost centrální správy antivirových produktů, schopnost rychlého vyrozumění obsluhy o virovém incidentu, snadné a rychlé a automatizované updatování při nových virových hrozbách a samozřejmì ochranu všech komunikačních kanálů. Důležité je i zajištění redundance, aby systém ochrany pracoval i v případě výpadku nějakého z dílčích produktů. Pro zajištění antivirové ochrany zvolilo ministerstvo produkty Symantecu. Ochrana elektronické pošty, jako hlavního potenciálního zdroje virové nákazy, se provádí na několika úrovních na úrovni komunikace s okolními subjekty pomocí protokolu SMTP pomocí Symantec AntiVirus for SMTP Gateways a na úrovni groupwarových serverů, kde je použit Symantec AntiVirus for Microsoft Exchange. Antivirový systém Symantec Antivirus for Microsoft Exchange je možné využít ve dvou režimech. V režimu MAPI přistupuje antivirový software ke zprávám stejně jako klient pomocí rozhraní MAPI. Nevýhodou tohoto přístupu je jeho pomalost na zatížených serverech, která je dána odezvou poštovního serveru, naopak k výhodám patří dobré informace o zprávě a možnost plánování kontrol. Druhým režimem je přístup v módu VAPI 1.0 (Virus - Scanning API), který lez využít na serveru Exchange 5.5 se service packem 4. Výhodou režimu VAPI je přístup ke zprávám ještě předtím, než jsou zapsány do schránky, nicméně k dispozici jsou omezenější informace o zprávě než při přístupu pomocí MAPI. V praxi se na poštovních serverech, na kterých běží Exchange 5.5, často využívá kombinace obou přístupů. Na serverech Exchange 2000 se servis packem 1 (a vyšším) je možné využít přístup pomocí rozhraní VAPI 2.0, to dovoluje přístup ke zprávám dříve než jsou zapsány do schránky a zároveň poskytuje nezbytné informace o příjemci, odesílateli atd. Ochranu souborových serverů a pracovních stanic zajišťuje Symantec AntiVirus Corporate Edition. 278 Security and Protection of Information 2003

59 Ale samotná ochrana poštovních a souborových serverů by rozhodně nestačila. Chránit je zapotřebí i http provoz, procházející firewallem. K tomu slouží na Ministerstvu financí Symantec Web Security: nástroj, který průběžně kontroluje http komunikaci firewally a odstraňuje nebezpečný kód. Průběžná automatická aktualizace jádra antivirového systému i databáze virů je zajištěna systémem LiveUpdate. A jaké vlastnosti by měl podle ing. Fliegla mít vhodný partner pro implemetaci? Měl by mít průkazné zkušenosti s poskytováním bezpečnostních řešení klientům z podnikové sféry, měl by dokázat využívat vlastní bezpečnostní strategie a postupy. K logickým požadavkům patří nejen disponování špičkovými technologiemi, ale i investice do získání certifikací pro implementaci bezpečnostních řešení. Klíčovým požadavkem je rovněž to, aby měl nejméně dva kvalifikované certifikované pracovníky pro danou oblast - jen tak se může zákazník spolehnout, že v případě problémů bude pracovník kdykoliv k dispozici. Security and Protection of Information

60 280 Security and Protection of Information 2003

61 Jak bezpečné je SSL? VUMS DataCom Rozšířená 15, Praha 8, Úvod Elektronické obchodování, on-line platby, přístup k informacím na internetu apod. vyžadují zabezpečení dat. Standardem pro bezpečný přístup se stal protokol SSL (Secure Socket Layer). Protokol, původně vyvinutý společností Netscape, byl akceptován jako de facto standard pro autentikaci a šifrování dat na internetu. Běží nad TCP/IP, konkrétně nad portem 443, a zabezpečí protokoly na vyšších vrstvách, např. HTTPS, FTPS, SMTPS atd. (viz obrázek 1). Podporují je mimo jiné prakticky všechny prohlížeče. Obrázek 1. Vazby SSL protokolu SSL zabezpečí data před odposlechem pomocí šifrování a dále umožní ověření totožnosti uživatele vůči serveru i naopak, a to prostřednictvím certifikační autority. Pro výměnu klíčů a sestavení spojení využívá asymetrických klíčů, tj. kombinace veřejného a privátního klíče. Pomocí nich se vygeneruje klíč pro dané spojení (session key). Během sestavování spojení se posílá i certifikát potvrzující totožnost. Samotný přenos dat je potom kryptován symetrickou šifrou. 2 Bezpečnost a SSL Je SSL opravdu bezpečný? Nepřináší jeho použití rizika? V principu bezpečný je, ale jako vždy vše závisí na implementaci. Během nedávné doby byla na internetu zveřejněna řada bezpečnostních chyb, které mimo jiné umožňují zneužití SSL spojení hackerem. K citlivým informacím se tak dostane nepovolaná osoba. V horším případě se hacker může pokusit využít toto spojení pro další průnik do systému. Paradoxně mu toto spojení, zabezpečené proti odposlechu, může poskytnout k průniku větší klid. Stejné nebezpečí však hrozí i od legálního uživatele - nic přece nebrání hackerovi zřídit si na daném serveru pro danou službu legální účet. Že se nejedná o pouze teoretické nebezpečí se mohly loni přesvědčit některé švédské banky, viz odkaz 3 IDS Odhalení podobných útoků je záležitostí IDS (Intrusion Detection System) sondy. Existují dva typy IDS Hostbased IDS a Network-based IDS. HIDS je software, instalovaný na daný server nad TCP/IP stack, který skenuje veškerý síťový provoz. V podstatě tedy nic nebrání tomu, aby server dekryptoval SSL provoz a HIDS ho pak prověřil. Je tomu skutečně tak? Není - problémem je výkonnost. I velice výkonný a drahý server dokáže zpracovat pouze několik desítek SSL session. Činnost IDS je neméně náročná, prověřuje se provoz až po Security and Protection of Information

62 aplikační vrstvu. Kombinace těchto dvou činností na jednom serveru je tedy krajně nevhodná a mnozí dodavatelé aplikací navíc nesouhlasí s instalací jakéhokoliv dalšího software. Nemenším problémem je v tomto případě škálovatelnost. HIDS musí být instalován na každém serveru, jakýkoliv upgrade operačního systému je nutné sladit s dostupností IDS software pro danou verzi atd. NIDS je zpravidla hardwarová appliance, často založená na UNIXu nebo LINUXu. Jedná se o dedikované zařízení s výkonem blížícím se 100 Mbps, u špičkových produktů k 1 Gbps. Provoz na NIDS je většinou směrován pomocí funkce copy port na přepínači. SSL provoz je však šifrován a IDS tak nemůže případný útok odhalit. 4 Řešení společnosti RADWARE Unikátní řešení nabízí společnost RADWARE ( která se specializuje na oblast load balancingu a application switchingu (IAS Inteligent Application Switching). Nabízí dvě řešení. Obě využívají hardwarový SSL akcelerátor CT WSD a Certain T100 První z nich je založeno na produktu WSD s rozšířením SynApps. WSD je content switch pro IP servery, tzn. dokáže sdružit do jedné serverové farmy, tzn. pod jednu IP adresu, prakticky libovolné množství serverů a podle definovaných kriterií (aktuální počet paketů, bytů, spojení, zátěže CPU, response time, typ aplikace atd.) mezi ně rozděluje respektive optimalizuje zátěž. SynApps pak představuje volitelný modul, rozšiřující možnosti jednotlivých content switchů o bandwith management a application security. Právě application security modul využívá mimořádného výkonu všech hardwarových platforem Application switch I, II a III. Ty dokáží fungovat až do 200 Mbps, 1 Gbps a 3 Gbps na 7. vrstvě OSI, na vrstvě samozřejmě je výkon mnohem vyšší. Díky tomu dokáže application switch modul částečně zastoupit bez ztráty výkonu funkčnost IDS I antiviru. Je schopen odhalit více než 1000 nejčastějších útoků a bezpečnostních rizik, jako jsou Nimda, Code Red, buffer overflow chyb, nebezpečí vyplývajících z defaultních konfigurací, back door útoků atd. Při kombinaci WSD s SSL akcelerátorem Certain T100 lze využít výhod off-line topologie pro SSL dekryptování, což zajišťuje neomezenou škálovatelnost pro SSL. WSD podle portu 443 pozná SSL a přesměruje jej na Certain T100. Zde je provoz dešifrován, vrácen na WSD a ten provede rozhodnutí, na který server bude poslán. V tomto okamžiku Security application modul dokáže detekovat a volitelně i blokovat nebezpečný provoz nebo útoky (viz obrázek 2), to vše bez snížení propustnosti. Obrázek 2. Spolupráce WSD a CertainT Security and Protection of Information 2003

63 4.2 FireProof a Certain T100 Druhou možností je kombinace FireProofu a Certain T100. FireProof je content switch pro bezpečnostní produkty firewally, VPN a IDS. Dokáže rozdělovat a optimalizovat provoz mezi jednotlivá zařízení ve farmě. Speciálně u IDS přináší toto řešení řadu výhod dokáže pro jeden segment sdružit více IDS sond a zajistit tak vysokou dostupnost a škálovatelnost, nebo naopak na jednu IDS sondu kopírovat provoz z více segmentů. V takovém případě je nutné zajistit směrování provozu v rámci jednoho spojení vždy na stejnou IDS (tzv. session persistancy) tak, aby bylo možné sledovat i průběh spojení. Řadu útoků nelze odhalit pouze na základě řetězce znaků, ale právě na základě určitých aktivit v rámci navazování nebo průběhu spojení. Protože IDS rozhraní funguje v promiskuitním módu a nemá tudíž vlastní IP adresu, je nutné session persistancy zajistit na základě zdrojové IP adresy eventuálně portu. Dále je možné definovat, který provoz bude na IDS posílán, a to podle zdroje, cíle a aplikace. Poslední možnost umožňuje efektivně využít více různých IDS i od různých výrobců podle toho, pro kterou aplikaci je daná IDS sonda nejlepší (HTTP, FTP, mail atd.). Důsledkem je maximálně efektivní využití, vysoká dostupnost, optimalizace a prakticky neomezená škálovatelnost. Nezanedbatelná je i úspora finančních prostředků při implementaci. V následujícím případě je FireProof připojen off-line k přepínačí pomocí jednoho nebo více portů v copy port režimu (viz obrázek 3). FireProof rozliší SSL (port 443) a nasměruje jej na Certain T100 v pasivním módu. Ten provoz dekryptuje a pošle zpět. Zde je už provoz v čitelném tvaru a FireProof jej přepošle na konkrétní IDS, a to podle definovaných pravidel (zdroj, cíl, aplikace). Na IDS je provoz prověřen za účelem odhalení případného útoku. Dešifrovaný provoz je pouze mezi Certain T100 a IDS, nikde jinde se nedostane. V závislosti na požadované propustnosti je možné přidávat další akcelerátory a IDS. Jakkoliv se tato idea zdá prostá, toto řešení je v této chvíli na trhu naprosto unikátní. SSL akcelerátor musí podporovat speciální pasivní režim. Důvodem je mimo jiné nutnost zajistit, aby SSL akcelerátor znal vygenerovaný klíč pro jednotlivá spojení, protože pouze tímto klíčem lze data dešifrovat. Obrázek 3. Spolupráce FireProof a Certain T100 5 Závěr SSL je bezpečný nikoliv bezpečnostní protokol. Je ho možné zneužít k průniku do systému. V této souvislosti je důležité si uvědomit, že i legální/ověřený uživatel může být hackerem. FireProof dokáže zajistit vysokou dostupnost, optimalizaci a neomezenou škálovatelnost pro firewally, VPN a IDS a vytvořit tak z jednotlivých komponent bezpečnostní centrum. V kombinaci s SSL akcelerátorem Certain T100 v pasivním módu nabízí naprosto unikátní řešení pro prověření SSL provozu. Security and Protection of Information