Securitatea re ţ elelor

1. Securitatea reţelelor 4. Produse şi soluţii de securitate

2. Introducere • Cum îşi pot proteja companiile propriile reţele de atacuri? Există o serie întreagă de tehnologii de securitate, produse, soluţii ce oferă un grad înalt de securitate. Spre exemplu, Cisco Systems este o companie ce oferă o gamă largă de produse şi soluţii de securitate. Alte companii ce vând produse şi soluţii de securitate sunt: Nortel, Check Point, Netscreen, Internet Security Systems şi Symantec, cu toate că nu toate dintre acestea oferă soluţii complete. • O bună soluţie de securitate nu numai că rezolvă “dilema” securităţii, dar reduce şi costurile totale de implementatare şi operare a reţelei. Ne putem imagina cu uşurinţă ce sume importante de bani se pot economisi atunci când reducem numărul de furnizori de securitate de la şase la unul sau doi. În acest caz toate costurile pot fi reduse: costurile de integrare, costurile de instruire a personalului, costurile de administrare. • O bună soluţie de securitate permite, de asemenea, ca anumite aplicaţii şi servicii să fie respinse ca potenţial periculoase. Printre acestea se numără aplicaţii de e-commerce de tip business-to-business şi alte aplicaţii extranet ce asigură legătura între furnizori şi parteneri.

3. Introducere (cont.) Soluţiile bune de securitate permit administratorilor de reţea să ofere servicii îmnubătăţite clienţilor. În acest sens se pot oferi următoarele beneficii: • Se permite utilizarea de noi aplicaţii şi servicii de reţea • Se reduc costurile de implementare şi operare a reţelei • Internetul devine un mediu de comunicaţie global, cu costuri scăzute • În continuare vor fi prezentate câteva posibile soluţii pentru implementarea securităţii. Schema SAFE de la Cisco va demonstraposibilitatea integrării echipamentelor şi serviciilor de securitate într-un cadru general.

4. Identitatea Există o serie întreagă de tehnologii de securitate ce asigură soluţii pentru securizarea accesului la reţea şi a mecanismelor de transport în cadrul infrastructurii de reţea a companiei. Multe dintre tehnologii oferă mai multe facilităţi de rezolvare a problemelor legate de identitatea utilizatorilor şi a echipamentelor, integritatea şi confidenţialitatea datelor. În conceptul de “identitate” sunt incluse conceptele de autentificare, autorizare şi control al accesului. Cu toate că reprezintă concepte diferite, toate acestea aparţin fiecărui utilizator sau dispozitiv din reţea. Fiecareutilizator sau fiecare dispozitiv reprezintă o entitate distinctă ce posedă abilităţi diferite în cadrul reţelei şi i se permite accesul la resurse pe baza identităţii sale. Chiar dacă în sensul cel mai strict identitatea se referă doar la autentificare, în multe cazuri se poate vorbi despre autorizare şi control al accesului în acelaşi timp: • Autentificarea reprezintă procesul de validare a identităţii pretinse de către un utilizator sau un dispozitiv (clienţi, servere, switch-uri, rutere, firewall-uri). • Autorizarea reprezintă procesul de acordare de drepturi unui utilizator, grup de utilizatori sau unui sistem specificat. • Controlul accesului reprezintă limitarea fluxului de informaţii de la resursele unui sistem doar către persoane sau echipamente autorizatedin reţea.

5. Identitatea În continuare sunt prezentate pe scurt tehnologiile utilizate în mod obişnuit pentru asigurarea unui grad acceptabil de integritate a datelor şi a confidenţialităţii într-o reţea. • Integritatea datelor asigură faptul că datele nu sunt modificate sau distruse decât de către persoane autorizate în acest sens. • Confidenţialitatea datelor asigură faptul că doar entităţile autorizate pot vizualiza datele într-un format descifrabil.

6. Identitatea Putem grupa, pe baza unor atribute comune, tehnologiile de securitate existente în următoarele categorii: • Tehnologii referitoare la rezolvarea identităţii • Securitate în nivelele structuratedin TCP/IP • Reţele VPN • IPSec • Public Key Infrastructure şi modele de distribuţie Cisco Secure Access Control Server (ACS) este un model de control al accesului la reţea de înaltă performanţă, extrem de scalabil şi centralizat. Cisco Secure ACS asigură controlul centralizat al comenzilor şi controlului pentru autentificarea, autorizarea şi administrarea utilizatorilor prin intermediul unei interfeţe grafice Web, distribuind aceste controale către sute şi mii de porţi de acces din reţea.

7. Firewall-uri Cel mai cunoscut dispozitiv de securitate dintr-o reţea este firewall-ul. Definiţia primară ne spune că un firewall reprezintă o porţiune confecţionată dintr-un material ignifugproiectat să împiedice răspândirea focului dintr-o parte a unei clădiri în alta. Un firewall poate fi, de asemenea, utilizat pentru izolarea unui compartiment de altul. Atunci când folosim termenul de firewall în legătură cu o reţea de calculatoare, putem spune că un firewall reprezintă un sistem sau un grup de sisteme ce asigură aplicarea unei politici de control al accesului între două sau mai multe reţele. Putem împărţi firewall-urile în trei mari categorii: • Firewall-uri dedicate • Firewall-uri server • Firewall-uri personale Cisco oferă o întreagă serie de echipamente de tip firewall. Avem de-a face în acest sens cu firewall-uri ce se pot instala, configura şi administra pe rutere Cisco IOS Firewall, precumşi firewall-ul dedicat de la Cisco: Cisco PIX firewall.

8. Firewall-uri • Firewall-uri dedicate Există multe dispozitive hardware de tip firewall dedicate securizării unei reţele. Cisco oferădouă soluţii: un firewall integrat în IOS (sistemul de operare al ruterelor Cisco)şifirewall-ul dedicat PIX (Private Internet Exchange). Facilităţile de firewall din IOS pot fi instalate şi configurate în ruterele de perimetru. Acesta adaugă caracteristici de “stateful”, filtrare pe baza aplicaţiilor, autorizare şi autentificare dinamică per-utilizator, apărare împotriva atacurilor le reţea, blocare Java sau alerte în timp real.Firewall-ul PIX reprezintă o soluţie dedicată hardware/software ce oferă facilităţi de filtrare a pachetelor şi tehnologii bazate pe proxy server. Alte companii ce oferă soluţii dedicate de firewall sunt: Netscreen, Nokia şi Nortel Networks. • Firwall-uri bazate pe servere O soluţie de securitate bazată pe server rulează pe un sistem de operare de reţea precum UNIX/Linux, Windows NT, 2K, XPsau Novell. Reprezintă în general o soluţie “all-in-one” ce este o combinaţie de firewall, control al accesului, reţea VPN într-un singur pachet. Ca exemple de soluţii de securitate bazate pe un server putem aminti: Microsoft ISA Server, Novell BorderManager şi Check Point Firewall. • Firewall-urile dedicate reprezintă, de asemenea, computere specializate, dar rulează o singură aplicaţie firewall sau sistem de operare, în timp ce firewall-urile bazate pe server rulează peste un sistem de operare de uz general. Firewall-urile bazate pe server tind să fie mai puţin sigure decât firewall-urile dedicate datorită vulnerabilităţilor de securitate ale unui sistem de operare de uz general. Firewall-urile bazate pe servere nu se comportă la fel de bine în reţele de trafic intens în comparaţie cu firewall-urile dedicate.

9. Firewall-uri • Firewall-uri personaleCalculatoarele personale conectate la Internet prin intermediul unei coenxiuni dialup, DSL, sau modem de cablu sunt la fel de vulnerabile precum şi reţelele de firmă. Firewall-urile personale sunt instalate pe calculatoarele utilizatorilor şi încearcă să prevină aceste atacuri. Firewall-urile personale nu sunt concepute pentru implementări LAN, ele putând bloca accesul la reţea dacă sunt instalate cu alţi clienţi, servicii, protocoale sau adaptoare de reţea.Exemple de firme ce oferă soluţii de firewall-uri personale: McAfee, Symantec, Zone Labs, Microsoft. Link-uri Web • Cisco http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ • Microsoft http://www.microsoft.com/isaserver/ • Certificări Firewallhttp://www.icsalabs.com

10. Reţele VPN (Virtual Private Networks) Definiţia cea mai generală a unei reţele VPN: orice reţea construită pe baza unei reţele publice şi partiţionată pentru folosirea unor utilizatori individuali. Având în vedere această definiţie, reţelele Frame Relay, X.25 şi ATM sunt considerate reţele VPN. Aceste tipuri de reţele VPN se regăsesc, de regulă, sub denumirea de reţele VPN Layer 2. Reţelele mai noi VPN sunt constituite din reţele construite pe backbone-uri partajate IP (reţele IP VPN, sau Layer 3 VPN). Reţelele IP VPN nu sunt simple tunele criptate. Reţelele IP VPN cuprind o serie întreagă de tehnologii şi produse suport precum firewall-uri, criptare, AAA, detecţia intruziunilor, tunneling, calitatea serviciilor şi management de reţea. Există două mari categorii de utilizări ale reţelelor VPN: • Reţele VPN remote-access (pentru acces la distanţă) • Reţele VPN de tip “site-to-site”, extranet şi intranet

11. Reţele VPN (Virtual Private Networks)

12. Reţele VPN (Virtual Private Networks) • Echipamente VPNReţelele VPN pot fi create prin utilizarea mai multor produse ce includ firewall-uri, rutere, concentratoare VPN, clienţi software şi hardware VPN, echipamente de detecţie a intruziunilor şi software de management de reţea.Alte companii ce oferă soluţii VPN: Netscreen, Check Point şi Nortel. Seria de echipamente Cisco VPN 3000 Concentrator este o familie de platforme VPN remote-access, ce oferă suport pentru diverşi clienţi enterprise. Clienţii diferă de la afaceri mici cu 100 sau mai puţini utilizatori remote-access până la organizaţii mari cu până la 10,000 utilizatori simultani.   Legături Web • Securitate şi VPNhttp://www.cisco.com/en/US/netsol/ns110/ns170/net_solution_home.html

13. Mecanisme de Detecţie a Intruziunilor Detecţia intruziunilorReprezintă abilitatea de a detecta atacurile ce sunt lansate asupra unei reţele. Reţeaua poate fi construită din mai multe dispozitive de reţea precum rutere, imprimante, firewall-uri şi servere. Protecţia contra intruziunilor presupune oferirea următoarelor mecanisme de securitate: • Detecţia – Presupune identificarea atacurilor răuvoitoare asupra reţelei şi a resurselor acesteia. • Prevenirea – Presupune stoparea atacurilor detectate. • Reacţia – Presupune imunizarea sistemului contra atacurilor viitoare ce provin de la o sursă identificată. Sisteme de detecţie a intruziunilor bazate pe gazde (HIDS)Un sistem de detecţie a intruziunilor bazat pe gazdă asigură un audit pentru fişierele log, fişierele de sistem şi resursele de pe calculatoarele gazdă. Un avantaj al unui sistem HIDS este acela că poate monitoriza procesele sistemului de operare şi poate proteja resursele critice ale sistemului, inclusiv fişierele ce pot exista doar pe un anumit host. Acest lucru presupune că poate anunţa administratorii de reţea atunci când procese externe încearcă să modifice un fişier de sistem într-o manieră de program de tip “back door”.

14. Mecanisme de Detecţie a Intruziunilor • O modalitate simplă de detecţie a intruziunilor pe gazde este aceea de activare a fişierelor de log pe gazda respectivă. Acest procedeu poartă numele de detecţie pasivă. În acest caz se va necesita o mare cantitate de analiză manuală a acestor fişiere de tip log.Mecanismele software de detecţie a intruziunilor necesită un agent software instalat pe fiecare gazdă pentru monitorizarea activităţii executate pe/către gazdă.Software-ul agent rulează o analiză de detecţie a intruziunilor şi protejează gazda. • Într-o implementare tipică HIDS, agenţii sunt instalaţi pe servere accesibile public, cum ar fi serverele de mail şi cele de aplicaţii. Agenţii raportează evenimentele unei console server central situată în interiorul firewall-ului companiei sau poate trimite un e-mail administratorului de reţea. În acest caz software-ul agent are rolul de protecţie a serverului consolă. • Mecanismele HIDS pot oferi suport atât pentru detecţia pasivă cât şi pentru cea activă. Detecţia activă poate fi setată să închidă conexiunea de reţea sau să stopeze serviciile implicate. Acest lucru are avantajul că poate să analizeze rapid un eveniment şi să ia măsuri de corecţie în acest sens. Cisco oferă mecanisme HIDS folosind produse Entercept (McAfee) şi Okena. Alţi producători de sisteme HIDS: Symantec, Internet Security Systems (ISS) şi Enterasys. • Programul StormWatch de la Okena (formă achiziţionată de Cisco în 2003) este un program de “prevenire a intruziunilor" ce foloseşte agenţi inteligenţi ce rulează pe desktopul utilizatorilor pentru monitorizare; ei interceptează, aprobă sau resping o cerere venită din partea unei aplicaţii către sistemul de operare pe baza unei politici de securitate a clientului. • Un alt produs bun HIDS este Primary Response 2.2 de la Sana Security, valabil pentru Microsoft Windows şi Sun Solaris.

15. Mecanisme de Detecţie a Intruziunilor • Sisteme de detecţie a intruziunilor bazate pe reţea (NIDS) Un sistem NIDS presupune dezvoltarea de echipamente de probă (senzori) în interiorul reţelei ce au rolul de a captura şi analiza traficul ce traversează reţeaua. Aceşti senzori detectează activităţile neautorizate şi suspecte în timp real şi iau măsurile necesare atunci când este cazul. Senzorii pot fi amplasaţi în puncte bine stabilite ale reţelei ce permit administratorilor de securitate să monitorizeze activitatea reţelei în timp ce aceasta este în lucru, fără să se ţină seama de locaţia ţintei supusă atacului.Senzorii NIDS sunt, de regulă, reglaţi pentru analiza detecţiei intruziunilor.Sistemul de operare respectiv este curăţat de serviciile de reţea care nu sunt necesare în timp ce serviciile esenţiale sunt securizate. • Asemenea unui sistem HIDS, un sistem NIDS se poate baza pe detecţie activă sau pasivă.Într-o implementare clasică, senzorii sunt localizaţi la punctele de intrare în reţea ce protejează segmentele de reţea critice. Segmentele de reţea au resurse atât interne cât şi externe. Senzorii raportează unui server central (denumit Director)localizat în interiorul firewall-ului companiei.

16. Mecanisme de Detecţie a Intruziunilor • Cisco Systems oferă un portofoliu complet de produse ce permit unui client să implementeze şi să administreze un sistem de apărare activ.Produsele de tip IDS products pot fi senzori de reţea, senzori de switch, senzori de ruter, senzori firewall, senzori gazdă şi management complet.Există mulţi producători şi o gamă largă de produse disponibile în domeniul detecţiei intruziunilor. • Exemple de producători NIDS: ISS, Enterasys şi Snort. Legături Web • http://www.snort.org/ • http://www.networkintrusion.co.uk/ids.htm • http://iss.net/ • http://www.enterasys.com/home.html

17. Monitorizare, administrare, audit • Scopul managementului de securitate este acela de a controla accesul la resursele reţelei în conformitate cu regulile locale. Acest lucru previne actele de sabotaj asupra reţelei şi interzice utilizatorilor ce nu au anumite drepturi să acceseze informaţii confidenţiale. Spre exemplu, un subsistem de management al securităţii poate monitoriza utilizatorii ce se conectează la o resursă de reţea şi poate interzice accesulacelora ce nu introduc codurile de acces corespunzătoare. Managementul subsistemului de securitate acţionează prin partiţionarea resurselor reţelei în zone autorizate şi zone neautorizate. Pentru unii utilizatori, accesul la orice resursă de reţea nu este necesar deoarece aceştia sunt din afara companiei. Pentru utilizatorii din interiorul reţelei, accesul la informaţiile provenite de la un anumit departament poate să nu fie admis. • Subsistemele de management al securităţii au o serie de funcţiuni. Ele identifică resursele de reţea sensibile (sisteme, fişiere sau alte entităţi), determinând mapări între resursele sensibile şi setările utilizatorilor. Aceste subsisteme monitorizează, de asemenea, punctele de acces la resursele importante din reţea şi înregistrează log-urile de acces. • Un scenariu tipic poate include o staţie de management ce monitorizează şi administrează echipamente precum rutere, firewall-uri, echipamente VPN şi senzori IDS. Un exemplu de software de acest tip este CiscoWorks VPN/Security Management Solution (VMS) de la Cisco. CiscoWorks VMS constă dintr-o serie de aplicaţii bazate pe Web detinate configurării, monitorizării şi depanării reţelelor VPN de întreprindere, a firewall-urilor, sistemelor NIDS şi HIDS. CiscoWorks VMS reprezintă o soluţie scalabilă ce adresează nevoile de securitate ale reţelelor VPN de orice mărime.

18. CiscoWorks2000 – Captură de ecran

19. Monitorizare, administrare, audit Caracteristici şi funcţionalităţi VMS: • Monitorul de securitate (Security Monitor) • O staţie centrală de management pentru configurarea, monitorizarea şi depanarea următoarelor: • Rutere VPN • Firewall-uri • Sisteme NIDS • Sisteme HIDS În plus, Cisco oferă interfeţe grafice de management a dispozitivelor pentru configurarea şi monitorizarea firewall-urilor sau senzorilor IDS. • Audit Auditarea securităţii este necesară pentru verificarea şi monitorizarea politicii de securitate a companiei. Un audit de securitate verifică implementarea corectă a politicii de securitate aplicată infrastructurii reţelei companiei. Supravegherea log-urilor şi monitorizarea evenimentelor din reţea pot duce la detectarea unui comportament suspect şi la eventuale intruziuni în reţea. • Este dificilă însă specificarea comportamentului suspect.În acest sens este important să se stabilească nişte reguli de bază a comportamentului normal. Atunci când modelele activităţii normale sunt recunoscute, activităţile suspecte pot fi identificate mai uşor.

20. Monitorizare, administrare, audit • Pentru a testa eficienţa securităţii infrastructurii de reţea, trebuie ca auditarea securităţii să aibă loc frecvent şi la intervale regulate. Auditarea trebuie să includă verificări ale noilor instalări de sisteme, metode de descoperire a activităţii ce poate avea probleme , explorarea vulnerabilităţilor clasice de tipul atacurilor DoS, precum şi compatibilitatea în general cu politica de securitate a reţelei. • Log-ul de audit generat de numeroasele sisteme de operare ce rulează în reţea poate fi utilizat pentru a determina gravitatea acţiunilor defăşurate în cazul unui atac. Există şi cazul în care instalarea trail-urilor de audit se face după atac, în timpul testării pierderilor suferite în urma atacului. • Este important să se evite înregistrarea fiecărui eveniment; altfel, cantitatea de date ce ar trebui analizate ar fi enormă. Dacă există prea multe informaţii de tip log care nu sunt necesare, în momentul apariţiei unei intruziuni, aceasta poate să rămână nedepistată în spatele “muntelui” de informaţii log generate de către sistem.

21. Monitorizare, administrare, audit • Dacă un sistem este proiectat şi implementat bine, trebuie avută în vedere înregistrarea tipurilor de activităţi ce pot indica primul stadiu al unui atac.Doar evenimentele ce nu sunt normale trebuie înregistrate. Aceste informaţii pot oferi administratorilor de reţea o avertizare că ceva nu este în regulă. • Înţelegerea modalităţii normale de funcţionare a unui sistem, cunoaşterea comportamentului normal şi a celui anormal, precum şi a funcţionării echipamentelor în reţea vor duce la detectarea problemelor de securitate.Observarea evenimentelor anormale poate ajuta la prinderea intruşilor înainte ca aceştia să producă vreo pagubă. Instrumentele de audit al securităţii pot ajuta companiile să detecteze, înregistreze şi să urmărească aceste evenimente anormale. Legături Web: • http://www.cisco.com/en/US/products/sw/cscowork/ps2330/index.html • http://www.networkintrusion.co.uk/scanners.htm • http://www.openview.hp.com/ • http://www.solarwinds.net/

22. SAFE SAFE reprezintă un plan complet de securitate bazat pe arhitectura integrată de la Cisco ce se numeşte AVVID (Architecture for Voice, Video, and Integrated Data). SAFE permite companiilor să-şi securizeze afacerile şi să profite de avantajul constituit de economia e-business şi economia Internet. SAFE oferă o migrare securizată pentru companii pentru implementarea şi convergenţa reţelelor de voce, video şi date. Nivelele SAFE sunt înglobate în cadrul infrastructurii AVVID de la Cisco:  • Nivelul infrastructurii – Servicii inteligente, scalabile de securitate înglobate în platformele Cisco (rutere, switch-uri, firewall-uri, sisteme IDS, etc. ). • Nivelul echipamentelor – Asigură încorporarea funcţionalităţilor de securitate elementare în echipamentele mobile de tip hand-held şi clienţii PC la distanţă. • Nivelul de control al serviciilor– Protocoale critice de securitate şi interfeţe API ce permit soluţiilor de securitate să lucreze împreună în mod coerent. • Nivelul aplicaţiilor – Elemente de securitate bazate pe gazdă sau pe aplicaţii ce asigură integritatea aplicaţiilor de e-business critice.

23. SAFE • Pentru a uşura implementarea rapidă şi consistentă a securităţii în reţea, planul SAFE este alcătuit din mai multe module ce adresează necesităţile distincte întâlnite în fiecare dintre zonele de lucru din reţea. Prin adoptarea planului SAFE, administratorii de securitate nu trebuie să reproiecteze întreaga arhitectură de securitate de fiecare dată când un nou serviciu este adăugat reţelei.Cu ajutorul unor matriţe (template-uri) modulare este foarte uşor şi eficient să se securizeze fiecare nou serviciu de care este nevoie şi să se integreze în arhitectura generală de securitate. • Una dintre caracteristicile unice ale planului SAFE este aceea că este primul plan din domeniu ce recomandă exact ce soluţii de securitate trebuiesc implementate pe fiecare porţiune de reţea, precum şi motivele pentru care aceste soluţii trebuiesc implementate.Fiecare modul din planul SAFE este proiectat să ofere un maximum de performanţă pentru e-business, iar în acelaşi timp să permită business-ului să îşi păstreze integritatea şi securitatea.

24. Sumar Am prezentat aici nevoile, tendinţele şi scopurile securităţii reţelei. Creşterea exponenţială a Internetului şi a reţelelor în general a condus la creşterea riscurilor legate de securitate.Multe dintre aceste riscuri apar datorită activităţii de hacking, iar altele datorită utilizării greşite a resurselor de reţea. Cunoaşterea slăbiciunilor şi vulnerabilităţilor reprezintă un lucru deosebit de important pentru funcşionarea cu succes a reţelelor moderne.Profesioniştii din domeniul securităţii sunt foarte căutaţi. Există 4 riscuri de bază ale securităţii reţelei: • Ameninţări nestructurate • Ameninţări structurate • Ameninţări externe • Ameninţări interne Pentru a ne proteja de astfel de atacuri, trebuie înţelese metodele prin care au loc atacurile: recunoaşterea, accesul şi refuzarea serviciilor.

25. Sumar “Roata securităţii” este alcătuită din patru etape: • Securizare • Monitorizare • Testare • Îmbunătăţire • “Roata securităţii” reprezintă un proces continuu bazat pe o politică de securitate, partea cea mai critică a securităţii reţelei. Această politică reprezintă planul de succes pentru securitatea reţelei. Cum spune şi proverbul: “fail to plan, plan to fail”. • Răspunsurile la problemele ce apar datorită problemelor de securitate variază de la ignorarea problemei până la alocarea de prea mult timp pentru rezolvarea lor şi elaborarea de soluţii. Nici una dintre abordari nu poate fi încununată de succes fără existenţa unei politici de securitate bună, clarăşi susţinută de profesionişti înalt calificaţi în securitate.