Information Assurance

Information
Assurance
6/2007
vychází
15. 9. 2007
Bezplatný měsíčník vydávaný CNSE spol. s r. o. ve spolupráci s pořadateli
a partnery konference Security and Protection of Information (www.unob.cz/spi)
Provideři – vyvedeme vás z krize
Rozhovor s Rami Hadarem, CIO a prezidentem Allot Communications
Obsah
Rozhovor s Rami Hadarem, CIO
a prezidentem Allot Communications _ 1–2
Úvodem – Jak na kvalitu služeb sítě _ _ _ 2
Traffic management VI _ _ _ _ _ _ _ _ _ _ 3
Microsoft IIS 7 – nová verze
WWW serveru _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 4
Monitorování bezpečnosti sítě _ _ _ _ _ _ 5
GiTy řeší bezpečnostní požadavky ČEZ _ 6
Systémy Single Sign-On _ _ _ _ _ _ _ _ _ 7
Společnost Allot Communications byla
založena v roce 1990 a dnes má 250
zaměstnanců, z nichž více než 100 jsou
inženýři. Poté, co získala vedoucí postavení
v oblasti optimalizace inteligentních IP služeb,
prodala svá zařízení již do 118 států. Letos
otevřela zastoupení i v České republice, proto
jsme se obrátili s prosbou o rozhovor na Rami
Hadara, CEO a prezidenta této společnosti.
Co říkáte na názory o krizi trhu telekomunikačních služeb?
Koncem devadesátých let se pozornost
síťových firem přesunula od řídicí infrastruktury (směrovače, přepínače) k aplikacím
a uživatelům. Pro providery toho však bylo
uděláno méně. Pozornost se soustřeďovala
na zvyšování přenosové rychlosti, tedy
šířky pásma, ale zapomínalo se na obsah
přenášených dat. A tak se postupně dospělo
k jistému kritickému bodu, protože přenášený
obsah dat si vynucoval stále více a více
šířky pásma. A dnes je takový stav, že i naše
děti, když si stahují videosoubory či prohlíží
videoklipy, přispívají ke „krizi pásma“. Přitom
řada nových aplikací naopak vyžaduje krátkou
dobu odpovědi a minimální zpoždění, takovéto
podmínky je však velký problém zajistit;
v důsledku toho jsou sítě stále dražší a dražší.
Někdo to jednou bude muset zaplatit.
2
Information Assurance 6/2007
Úvodem
Jak na kvalitu
služeb sítě
Provideři…
V tomto letos posledním čísle Vás seznámíme
se společností, jejíž produkty jsou určeny
pro zajištění kvality síťových služeb (QoS)
a traffic managementu – se společností Allot
Communications (http://www.allot.com).
Kam to podle vás povede?
Zkuste si představit situaci řízení uživatelů,
kdy náročné aplikace vyvolají hlad po pásmu
a zároveň zkonzumují všechny investice.
Omezená kapacita na splnění požadavku
aplikací nebude stačit, což je moment, kdy
do centra pozornosti nastoupí optimalizace
IP služeb.
S problémem kvality služby zápolí klasické
prvky sítě – směrovače a přepínače – už léta.
Problémem je jejich univerzálnost a složitost.
Zabezpečení kvality služby je přitom
vyhraněná činnost, kterou je lépe realizovat
specializovaným zařízením – tzv. formovačem
provozu (traffic shapper). Produkty firmy Allot
Communications jsou s jeho pomocí schopny
garantovat parametry pro nejrůznější aplikace
(hlas, video, databáze, ...), protokoly (HTTP,
FTP, P2P, ICQ, ...) a uživatele identifikované IP
či MAC adresami, případně jmény (prostřednictvím adresářové služby).
Produkty Allotu činí z poskytování síťových
služeb velmi pružnou a tvůrčí záležitost.
Například zákazníci Českého bezdrátu mohou
měnit nastavení minimální a maximální
rychlosti svého přístupu k jednotlivým
službám Internetu i přidělovat jim priority
dle vlastních požadavků a potřeb (služba
Eri-Garant). Zákazníci Net4net, a. s., si zase
mohou pružně určovat požadavky na kapacitu
spojení i kvalitu služby (služba IP Optimum).
Uživatelé tak dostávají služby šité na tělo.
Protože se v tomto čísle budeme podrobněji
věnovat problematice sítí, nakladatelství
Computer Press nám věnovalo vhodnou
knihu a to „Zabezpečení sítí pomocí Cisco
PIX Firewall“ autorů Davida W. Chapmana Jr.
a Andy Foxe; kniha má 368 stran, rok vydání
byl 2004, prodejní kód: K0900, ISBN: 80-722-6963-1, EAN: 978-80-7226-963-1, cena
650 Kč. A nezbytná otázka: v kterém roce byl
firewall PIX navržen (tentýž rok byl časopisem
Communications Magazine označen za
produkt roku).
SVĚTLANA PROKSOVÁ
Information Assurance
Bezplatný zpravodaj vydávaný na podporu
konference Security and Protection of Information
www.unob.cz/spi, e-mail: [email protected]
Vydavatel: CNSE spol. s r. o.
Zodpovědná redaktorka: Světlana Proksová
Redakční rada: Martina Černá,
Jaroslav Dočkal, Ivo Němeček, Petr Lasek,
Jiří Unzeitig, Milan Jirsa, Josef Kaderka
Grafická úprava: Omega Design, s. r. o.
Registrace MK ČR E 17346
ISSN 1802-4998
(Dokončení z první strany.)
Jak byste charakterizoval soudobé
požadavky poskytovatelů?
Nové aplikace kladou stále větší požadavky
na šířku pásma. Uvažte například, jaké
celkové požadavky na šířku pásma páteřních
sítí klade Skype díky bezplatnosti svého
používání. A ty požadavky navíc přišly
skokem. Tradiční infrastruktura (kabeláž, WiFi
či 3G sítě) tyto nové kvantitativní požadavky
není schopna zajistit a přitom by zároveň
měla plnit kvalitativní požadavky kritických
aplikací, jako je dodržení rozptylu zpoždění.
Co radíte poskytovatelům, jak mají
postupovat?
Řešením je transformace obyčejných
datových toků na inteligentní; my k tomu
používáme technologii DPI. Použiji analogii:
dovedete si představit leteckou společnost,
která neví, kam své cestující přepravuje;
kdo cestuje za zábavou a kdo za byznysem?
Nemůže taková společnost nezkrachovat?
Obdobně řada poskytovatelů netuší, jaké
aplikace jejich zákazníci provozují, a protože
to neví, nemohou své sítě optimalizovat tak,
aby plnily jejich požadavky a měly z toho zisk.
Rami Hadar
CEO a prezident společnosti Allot
Communications. Za svoji předchozí
kariéru zakládal a vedl řadu ICT
společností v oblasti buňkových sítí,
širokopásmových bezdrátových přenosů,
WiMax technologie a sítí MPLS.
jim zdroje. Řízení QoS uživatelů nakonec uvádí
specifické zákaznické požadavky do souladu
s jeho SLA (Service Level Agreement – dohoda
o úrovni služeb). Například lze dát prioritu VoIP
či videokonferencím a v pracovní době omezit
P2P aktivity.
Co se zavedením vaší technologie
podstatně změní?
Před instalací řešení Allotu provider často
nebyl schopen kvantitativně vyjádřit kvalitu
poskytovaných služeb. Po jeho zavedení
může své služby diferencovat v souladu
s SLA. Například pro aplikace typu Google
může vyčlenit tak velké pásmo, aby nenarušovalo provoz kritických aplikací.
Mohl byste uvést konkrétní příklady?
Vezněme si například přenosy P2P; stovky
dětí si stahují poslední Madonnin klip, což
má za následek zahlcení sítě. Síťoví operátoři
pak stojí před dilematem, zda omezit jejich
aktivity anebo přidat pásmo. Často proto volí
třetí řešení, naše, které tuto situaci zvládne
a návratnost investice se pohybuje mezi 3 až
6 měsíci. Anebo se podívejme na Skype. Ví
poskytovatel, o kolik pásma v důsledku jeho
používání přichází? A ví mobilní operátoři,
o jaké přichází zisky z telefonování?
Co vše obsahuje portfolio vašich produktů?
Na nejnižší úrovni je AC400 NetEnforcer,
který je schopen zvládnout 4 000 uživatelů
při rychlosti 100 Mb/s, což jsou ideální
parametry pro menšího poskytovatele. Na
druhém konci výkonnostního spektra je
NetEnforcer AC2500 s 5 Gb/s a 80 000
současně obsluhovanými uživateli. Nedávno
jsme dali na trh Allot Service Gateway, první
průmyslovou bránu podporující Ethernet
o 10 Gb/s. Při tomto obrovském výkonu má
náš produkt navíc velmi zajímavou cenu.
V čem spočívá podstata Vámi používané technologie DPI – Deep Packet
Inspection?
Náš produkt hluboce nahlíží do struktury
paketu s cílem identifikovat aplikace
a přidělovat jim priority v souladu s politikou
stanovenou poskytovatelem. Tvořen je třemi
částmi, které zajišťují vizualizaci sítě, aplikační
řízení a řízení QoS uživatelů. Vizualizační část
identifikuje běžící aplikace a odhaluje, kteří
uživatelé je provozují. Aplikační řízení pak
může aplikacím přiřazovat priority a přidělovat
Jak vidíte budoucnost Allotu?
Díky našemu postavení na trhu DPI se jí
vůbec nemusíme obávat. Naše produkty
optimalizují služby pro širokou škálu uživatelů,
a to od těch, kteří si chtějí chránit své kritické
aplikace až po poskytovatele služeb, snažící se
o dohled aplikací. Máme dostatečně diverzifikovanou zákaznickou základnu i dostatečný
počet distributorů, abychom byli schopni
i nadále rozšiřovali své postavení na trhu.
OTÁZKY KLADLA SVĚTLANA PROKSOVÁ
6/2007 Information Assurance
Traffic management VI
Řešení
V minulém díle seriálu článků jsme popsali
požadavky na výběr vhodného řešení pro
traffic management. V tomto díle vás
seznámíme s vhodným řešením.
Špičkové řešení na trhu traffic managementu
poskytuje společnost Allot Communications
(www.allot.com). Díky tomu, že se zaměřuje
výhradně na tento segment trhu, dokáže
nabídnout:
komfortní a intuitivní grafické rozhraní,
účinné DPI (Deep Packet Inspection)
a podporu stovek aplikací,
možnost integrace pomocí XML, SOAP,
skriptů i API,
volitelnou integraci s DHCP, RADIUS i OSS
systémy,
výkon od 2 Mb/s do 20 Gb/s na aplikační
vrstvě ( L7),
třívrstvou architekturu (sonda – management
server – klient),
škálovatelnost řešení od jednoho boxu po
stovky boxů v jedné síti,
řešení pro podniky i pro ty největší operátory.
Základní strategie Allot Communications je
velice jednoduchá – spolehlivý a výkonný hardware, účinné DPI řešení a intuitivní grafické
rozhraní. Pro zajímavost – jen protokolový tým
představuje deset programátorů. Díky tomu
je možné rozlišit i aplikace jako je šifrovaný
BitTorrent, eDonkey, Skype apod.
Jak je vidět, lze si vybrat řešení pro malou
firmu i pro páteřní síť operátora.
CPE
Network Edge
20 G
Zajímavé je podívat se na vývoj produktů, viz
obrázek 1. Je z něj zřejmé, že už téměř před
pěti lety bylo k dispozici řešení pro 1 Gb/s, nyní
pro 20 Gb/s a příští rok to bude ještě několikrát
více. Nová produktová linie Service Gateway
A14 Omega, viz obrázek 2, je založena na
modulární a především standardní ATCA
(Advanced Telecom Computer Architecture)
architektuře a díky tomu je možná integrace
s řešeními jiných výrobců. Rozšíření služeb
o antivir, URL filtering apod. pak bude pro
operátora velice jednoduché, stačí do chassis
přidat další desku s příslušným software.
NetEnfrocer podporuje různé scénáře vysoké
dostupnosti a součástí dodávky je vždy
i bypass jednotka. NetXplorer pak představuje
centrální management, monitoring a reporting
server, viz obrázek 3, který dokáže jednotlivé
NetEnforcery nejen řídit, ale sbírat z nich
a z Collectorů potřebná data.
Volitelnou komponentu pak tvoří SMP
(Subscriber Management Platform) modul.
SMP je určen především pro operátory a umož-
AC-25x0
5G
SG-20 A14
Omega
2G
AC-10x0
AC-4xx 8xx
100 M
2002
2003
2004
2005
2006
2007
Obrázek 1: Vývoj řady NetEnforcer
ňuje jednouchou integraci s DHCP, RADIUS
a OSS servery. Postačí přidat nového zákazníka
do databáze, přiřadit mu službu, kterou si vybral
a vše ostatní se provede automaticky.
Zajímavost a úspěšnost řešení potvrzuje i řada
referencí přímo v České republice a to jak
u poskytovatelů internetu (Český bezdrát, ČRA,
M-Soft, …) i v podnikové sféře (ČSA, OKD,
IKEM atd.).
PETR LASEK
Typ
Výkon
NetEnforcer AC402, 404
Monitoring only, 2, 10,45, 100 Mbps
NetEnforcer AC802, 804, 808
Monitoring only, 45, 100, 155, 3100 Mbps
NetEnforcer AC1010, 1020, 1040
155, 310, 622 Mbps a 1 Gbps
NetEnforcer AC2520, 2540
310 Mbps, 1, 2, 2.5 Gbps
Service Gateway A14 Omega
až 20 Gbps
Řešení je tvořeno třemi komponentami.
Samotný hardware představuje řada
NetEnforcer, viz tabulka 1.
Tabulka 1: Parametry zařízení NetEnforcer
Obrázek 2: SG-20 A14 Omega
Obrázek 3: Centrální dohled pomocí NetXploreru nad dvěma zařízeními typu NetEnfrocer
3
4
Information Assurance 6/2007
Microsoft IIS 7 – nová verze
WWW serveru
Windows Server 2008
a Windows Vista obsahují novou
verzi WWW serveru, jehož plný
název je Internet Information
Services 7 (IIS 7). IIS 7 přichází
s řadou nových bezpečnostních
vylepšení, čímž reaguje na
okolnost, že jeho starší verze
byly v minulosti častým terčem
úspěšných útoků.
Firma Microsoft se tuto situaci samozřejmě pokoušela řešit a pro verze IIS 4
(ve Windows NT 4.0 Option Pack), IIS 5
(ve Windows 2000) a IIS 5.1 (ve Windows
XP) dala k dispozici speciální nástroj
IISLockdown. Jednalo se o poměrně
jednoduchý program, který umožňoval
bezpečnou instalaci a konfiguraci IIS podle
uživatelem vybrané role. Ve verzi IIS 6
(Windows XP x64 Edition a Windows 2003
Server) již byly obdobné funkce standardní
součástí instalace a IISLockdown se stal
zbytečným. Architektura IIS 6 i jeho výchozí
nastavení jednoznačně preferovaly bezpečnost, a proto se výrazně snížilo množství
bezpečnostních incidentů s ním spojených.
Modularita IIS 7
Přestože verze IIS 6 byla alespoň co do bezpečnosti úspěšná, byl její kód pro verzi IIS 7
zcela přepracován. Jedním z přetrvávajících
problémů totiž byla takzvaná monolitická
instalace WWW serveru, kdy se u verze 6
muselo nainstalovat vše, co server tvořilo.
Ty součásti, které neodpovídaly vybrané roli,
se vhodnou konfigurací pouze deaktivovaly,
avšak byly v systému stále přítomné
a zbytečně tvořily potenciální cíl útoku.
vzdálená správa využívá protokol HTTPS
na standardním portu 443, který již bývá
na firewallu otevřen, takže není třeba se
žádným dalším portem kvůli vzdálené
správě zabývat.
V IIS 7 je naproti tomu využit modulární
návrh, který zmenšuje prostor pro útok
na minimum. Kompletní WWW server je
tvořen asi čtyřiceti moduly, plnícími různé
funkce jako je zpracování HTTP požadavků,
autentizace, tvorba aplikací, podpora
skriptů, diagnostika apod. Které z modulů
se skutečně nainstalují, závisí na volbě
role, kterou má server plnit. Podstatné je,
že soubory, obsahující nepotřebné moduly,
nejsou na disku vůbec přítomny.
Filtrování požadavků
Delegování administrátorských
práv
V IIS 6 mohl změny konfigurace provádět
jen uživatel s právy administrátora (na
úrovni operačního systému), takže se dost
dobře nedaly oddělit role správce operačního systému a správce WWW serveru.
Naproti tomu IIS 7 obsahuje nový program
pro správu (viz obrázek 1), jehož rozhraní
povoluje určité úlohy delegovat i na jiné uživatele, než jsou systémoví administrátoři. Je
tak možné definovat pouze administrátory
webového serveru nebo webové aplikace
a těm pak poskytnout možnost vzdálené
správy bez obav o to, že mohou v systému
natropit nějakou neplechu. Mimochodem,
Velmi časté útoky proti WWW serveru
spočívají v zasílání požadavků obsahujících
velmi dlouhou URL adresu, adresu
obsahující neobvyklé znaky nebo speciálně
formátovanou adresu. Aby se toto nebezpečí eliminovalo, bylo u starších verzí IIS
možné kontrolovat URL adresy požadavku,
a to speciálním nástrojem URLScan. Ten
adresu nesplňující některou z definovaných
podmínek odmítl a zabránil tak jejímu
dalšímu zpracování. V IIS 7 plní obdobnou
funkci modul Request Filtering, jehož
možnosti byly jen o trochu rozšířeny.
Vylepšená diagnostika
Zejména vývojáři webových aplikací ocení
dva nové mechanismy poskytující podrobné
informace o chybách a problémech,
využitelné nejen k monitorování serveru ale
i k ladění aplikací. Prvním z těchto mechanismů je rozhraní RSCA (Runtime Status &
Control API), pomocí něhož lze monitorovat
zpracovávané požadavky, a to v reálném
čase. S tímto rozhraním je také možné získat
řadu podrobných informací o aktuálním
stavu WWW serveru nebo webové aplikace.
Druhým mechanismem je automatický
záznam neúspěšných požadavků (Automatic
Failed Request Trace Logging), jenž administrátorovi umožňuje definovat typy problémů,
které chce sledovat. Může jít například
o dlouhou dobu obsluhy požadavku nebo
o ohlášení chyby WWW serveru. Pokud je
takový problém detekován, zaznamená se
do souboru podrobná informace o požadavku, který ho způsobil.
MILAN JIRSA
Zdroje:
[1] Microsoft Internet Information Services
Home, http://www.iis.net
[2] Virtuální laboratoř na vyzkoušení práce
s IIS7, http://virtuallabs.iis.net/
[3] Explore The Web Server For Windows
Vista And Beyond,
http://msdn.microsoft.com/msdnmag/
issues/07/03/IIS7/default.aspx
[4] Internet Information Services,
http://en.wikipedia.org/wiki/Internet_
Information_Services
Obrázek 1: Vzhled přepracovaného správce IIS
6/2007 Information Assurance
Monitorování bezpečnosti sítě
Představme si, že jsme do sítě
zavedli různé bezpečnostní
technologie poskytující
vícevrstvou ochranu před
širokým spektrem útoků.
Poskytovatel nás chrání před útoky DDoS.
Firewally v několika liniích brání nedovolenému
průniku do sítě. VPN technologie zabezpečuje
přenášená data. IPS systémy sledují útoky
probíhající přes síť. NAC ověřuje identitu
uživatelů a aktualizuje programové vybavení
zranitelných stanic. Antiviry, personální
firewally a host-based IPS systémy zajišťují
stanice před útoky, které by pronikly přes
všechny vrstvy ochrany na úrovni sítě. Můžeme
přes všechny technologie a zavedené postupy
doufat, že naše síť je opravdu v bezpečí?
Samozřejmě nemůžeme. Potřebujeme vědět,
co se v síti děje. Chceme ale vědět o všech
událostech? Je to realistické?
10.51.11.3
10.51.12.3
10.51.13.1
10.1.70.80
53
E-1214
1
pnmars
171.71.180.232
E-1404
FWSM-amslab.
Obrázek 1: Průběh útoků v síti (zařízení MARS zachytilo útok z PC s IP adresou 171.71.180.232)
Firewall v průměrně zatížené, středně velké
síti registruje desítky i stovky událostí za
sekundu. Podobný počet nahlásí i typický
IPS systém. Obrovské množství informací je
uloženo v záznamech operačních systémů
a aplikací. Nezanedbatelný objem informací
poskytuje i síťová infrastruktura. Denně tak
získáváme milióny nových záznamů. Není
v lidských silách tyto informace přečíst, dát je
do souvislostí a posoudit jejich závažnost, to
může udělat jen výkonný a inteligentní nástroj.
CS MARS
Podívejme se krátce na Cisco Secure
Monitoring, Analysis and Response System,
označovaný zkráceně CS MARS.
MARS sbírá a zaznamenává informace ze
síťových prvků, z bezpečnostních zařízení,
koncových stanic, dává je do souvislostí,
potlačuje nevýznamné události a upozorňuje
na důležité a nebezpečné bezpečnostní
incidenty v síti. Dokáže také navrhnout
optimální způsob zastavení útoků.
Je výkonný a rozšiřitelný
Ve středně velké síti (jednotky kusů
bezpečnostních zařízení, několik desítek
síťových zařízení, několik set koncových
stanic) musíme počítat se stovkami až tisíci
událostmi za sekundu. Ve větších sítích
jsou to již tisíce, desetitisíce i více událostí.
Nejvýkonnější sonda MARS je schopna
vyhodnocovat a ukládat do databáze až
deset tisíc událostí za sekundu. Nestačí-li
to, lze použít více sond; pak jejich soustavu
zastřeší centrální konzola (global controller).
Ta je místem, ve kterém se zobrazují
všechny incidenty, souhrnné grafy a výkazy
a odtud se spravují jednotlivé sondy.
Rozumí heterogennímu prostředí
MARS rozumí informacím pocházejícím
z bezpečnostních zařízení, síťových prvků,
operačních systémů a aplikací od různých
dodavatelů. S těmito zařízeními komunikuje
standardními či firemními protokoly.
Podporuje desítky zařízení, další může pružně
přidávat správce systému.
Dává události do souvislosti,
upozorňuje na vážné incidenty
Samotná událost často neukazuje na
významný bezpečnostní problém jednoznačně. Když se však v síti vyskytne určitá
posloupnost událostí, kterou zaznamenají
různá zařízení, může jít o vážný problém.
Pokud dokáže monitorovací systém ověřit
dopad incidentu jednou či více nezávislými
cestami, dostáváme věrohodnou informaci,
která stojí za podrobnější analýzu.
Obrázek 2: Zastavení útoku. MARS navrhuje několik
variant blokování útoku firewallem v přepínači
Catalyst 6500.
MARS sbírá informace z různých zdrojů
a ukládá je v komprimované podobě do
databáze. Události vyhodnocuje sadou
korelačních pravidel. Tato sada vytváří
z množiny izolovaných událostí incidenty,
který se zobrazuje v centrální konzole.
Základ systému tvoří zhruba stovka
dodaných korelačních pravidel. Správce
ovšem může sestavovat vlastní pravidla,
která odrážejí specifické vlastnosti sítě nebo
potlačují falešné poplachy. Dobře vyladěný
systém v běžném prostředí zobrazí z miliónů
zaznamenaných událostí několik málo
desítek významných incidentů. Každý z nich
pak lze podrobně prozkoumat. Věrohodnost
incidentů posuzuje MARS z mnoha hledisek.
Může například použít vlastní nebo externí
skener zranitelností, vyhodnocovat informace
z NetFlow protokolu apod.
Rozumí topologii sítě,
blokuje útoky
MARS prozkoumá topologii, vytvoří přesnou
mapu sítě a zakreslí do ní průběh útoků, do
obrázku 1 jsem překreslil obsah obrazovky.
Správce vidí v mapě stanice, ze kterých útok
vychází, trasu v síti i cíle útoku.
MARS využívá znalost topologie sítě k navržení způsobu, jakým útok zastavit. Například
může zablokovat port přepínače, ke kterému
je zdrojová stanice připojena. Útok může také
zastavit automatickým vytvořením paketových
filtrů na směrovači, pravidlem na firewallu
nebo i dalšími způsoby, viz obrázek 2.
Více informací o CS MARS najdete na
http://www.cisco.com/go/mars
IVO NĚMEČEK
5
6
Information Assurance 6/2007
GiTy řeší bezpečnostní požadavky ČEZ
Přes všechny snahy pracovníků
v informatice zůstává
většina incidentů vzniklých
v informačním systému
neidentifikována. Důvodem
je rozsáhlost log souborů
generovaných z různých
zdrojů – firewallů, proxy serverů,
antivirových prostředků, síťových
IDS, syslog serverů, aplikačních
serverů, …
Ve velkých společnostech je přicházející
objem záznamů tak obrovský, že administrátoři nemají šanci logy ani pročíst, natož
důsledně analyzovat. Toho všeho si byl útvar
bezpečnosti IS ve skupině ČEZ, jehož úkolem
bylo vytvořit komplexní systém bezpečnostních opatření na úrovni, odpovídající povaze
a důležitosti zpracovávaných údajů v informačním systému skupiny ČEZ, vědom. Na
základě takto definovaného cíle hledal útvar
bezpečnosti IS řešení, které by bylo schopno
převzít od administrátorů bezpečnostní
infrastruktury tuto velmi náročnou práci.
Společnost ČEZ v oblasti bezpečnosti ICT
vyzvala různé dodavatele bezpečnostních
produktů k diskusi o možném řešení požadavků na bezpečnost IS v ČEZ. Nicméně až
společnost GiTy nabídla ideu implementace
komplexního řešení – kanadské společnosti
Intellitactics (kterou GiTy zastupuje v ČR)
splňujícího převážnou část požadovaných
kritérií bezpečnostního dohledu. Software
Network Security Management (dále již
NSM) je schopno sbírat informace generované různými zařízeními a interpretovat
je bezpečnostnímu správci. Následně pak
dokáže identifikovat a vytvářet vazby mezi
událostmi v jednotlivých výpočetních zařízeních včetně časových korelací v reálném čase
tak, aby byla stále zajištěna průkaznost údajů
a možnost auditu.
Spolupráce se společností GiTy byla pro ČEZ
velmi přínosná z několika pohledů. ČEZ jako
Obrázek 2: Ukázka jednoho z pracovišť bezpečnostního dohledu
z šesti pracovišť bezpečnostního dohledu
ukazuje obrázek 2 (vizualizace aktuální
bezpečnostní situace je na monitoru vlevo).
zákazník přesně a podrobně definoval své
potřeby na bezpečnostní dohled. Společnost
GiTy přinesla know-how implementace řešení do rozsáhlé infrastruktury informačního
systému skupiny ČEZ. Již od počátečních
diskusí bylo zřejmé, že implementace tak
rozsáhlého řešení musí probíhat po etapách
a postupných krocích.
První etapa definovala filozofii architektury
celého řešení při zajištění dostatečného
výkonu pro zpracování přijímaných dat
s kontinuální možností průběžně systém
doplňovat o další výkon. Druhá etapa zajišťovala napojení všech vybraných dohlížených
systémů, úpravu vizualizací a škálování
výkonu podle rozsahu připojovaných částí
IS. Třetí etapa implementovala úpravu
lexikálních analyzátorů logů pro specifické
bezpečnostní funkce a úpravu korelačních
funkcí dle požadavků ČEZ.
Protože bezpečnost je kontinuální proces,
spolupráce ČEZ se společností GiTy stále
pokračuje, neboť jak přibývají nové typy
útoků, tak se mění i typy software. Vlastní
cíl bezpečnostního dohledu IS – sjednotit
výstupní informační zdroje z jednotlivých
provozních a bezpečnostních částí IS skupiny
ČEZ do jednotné databáze (konsolidace),
sdružit informace do sady bezpečnostních
tříd a kategorií (agregace) a tak vytvořit
jedno informační aktivum – se podařilo
naplnit. Informace rozčleněné do příslušných
bezpečnostních kategorií umožňují vstupovat
do rozhodovacích procesů na jednotlivých
pracovních úrovních napříč provozovanými
aplikacemi, systémy a službami bez ohledu
na jejich geografické rozmístění v ČR.
Bezpečnostní dohled je tvořen výhradně
grafickými pravidly. Není třeba nic složitě programovat (viz obrázek 1), vše je jednoduše
auditovatelné. Výslednou podobu jednoho
Zbyněk Surovec – GiTy, a. s.
Lukáš Přibyl – Bezpečnost ICT, ČEZ, a. s.
Karel Šimeček – Bezpečnost ICT,
ČEZData, s. r. o.
Forward or analyze summary data
Input audit processing (packaging and propagating to CSDW)
Chain to Input Audit
system / main / input / root-node
GNU Inbox Monitor
Chain to main rule for aggregated
system / main / aggregate / pre-norm-root-node
contex=parsed_file
Summary Data
priority >= 60
contex = parsed_g_stat
Change Context
Parse OS Log File
Obrázek 1: Ukázka grafických pravidel bezpečnostního dohledu
parsed_g_stat
/ system / main / update
/ system /main /update /root-node
6/2007 Information Assurance
Systémy Single Sign-On
Počet aplikací v organizacích
neustále vzrůstá (podle údajů
IDC je v podnicích s méně než
2000 zaměstnanci více než deset
aplikací). Jedná se například
o intranet organizace, výkazové
systémy, ERP systémy a další.
Uživatelé se potýkají s nutností
změn hesel, zapomínají je nebo si
je zapisují na různá místa. Vznikají
tak bezpečnostní incidenty.
Jedním z řešení, které tyto problémy eliminuje
a zjednodušuje život uživatelům i administrátorům, je systém jednotného přihlašování (SSO,
Single Sign-On). Aplikace si nemusejí udržovat
vlastní databáze uživatelů, ale využívají
centrálního úložiště jednotně pro všechny
aplikace. Uživatel má jedno jméno a heslo
pro všechny aplikace. Autentizace a přidělení
přístupových práv je prováděna centrálně s využitím autentizačního serveru (viz obrázek 1),
centrálně lze rovněž provádět audit.
Existují různá, značně vyzrálá řešení SSO,
vhodná k nasazení ve všech prostředích
včetně těch nejnáročnějších. Můžeme si uvést
dvě kategorie SSO produktů – Enterprise SSO
a webové SSO (takzvané WAM).
Enterprise SSO
Ve velkých společnostech je SSO zpravidla
součástí správy uživatelů. Systémy SSO jsou
často založeny na řešení Kerberos, což je
tzv. proxy SSO (poskytovatelem autentizační
služby je vzdálený počítač), které zajišťuje
autentizaci pracovních stanic uživatelů vůči
serverům. V tomto systému je heslo uživatele
použito pouze při prvním přihlášení k autentizačnímu serveru (například jednou za směnu,
viz obrázek 2) a pak už je pro každou službu
používán přidělený klíč s omezenou dobou
platnosti (např. s dobou platnosti do konce
AS: Autentizační server
Uživatel se autentizuje
(např. jednou za „směnu“)
u AS a získá do AS doklad
jeho autentizace pro TGS
Autentizační server
Autentizace
Aplikace
Uživatel
Počítač uživatele
směny), jehož případné prolomení nemá
dlouhodobější následky.
Různé systémy SSO mohou také podporovat
dvou či třífaktorovou autentizaci jako je
například kombinace hesla s tokenem či
dokonce s biometrickými autentizačními
nástroji. Některá další řešení umožňující
automatizovanou autentizaci vedou přes
využití PKI, což ale na aplikace klade
poměrně vysoké nároky.
Webové SSO
Představitelem SSO formou webového
správce přístupu (WAM – Web-based Access
Manager) jsou řešení typu GetAccess od
firmy Entrust, Sun ONE Identity Server
od firmy Sun Microsystems, Tivoli Access
Manager od firmy IBM, ClearTrust firmy RSA
a řada dalších. Hlavními rysy těchto systémů
je autentizace uživatele, povolení relace
s více různorodými aplikacemi, řízení přístupů
na základě rolí, aplikace SAML (Security
Assertion Markup Language) pro syntaxi
zpráv. Typický algoritmus tohoto řešení je
následující:
1. uživatel přistupuje k URL (zdroji) chráněnému WAM;
TGS: Ticket-Granting server
Aplikační server
Uživatel opakovaně využívá službu,
na TGS se opakovaně neobrací
Obrázek 2: Schéma systému Kerberos
Čerpání služby
Obrázek 1: Schéma systému SSO
Uživatel získává od TGS
pro každou službu doklady
autentizace, u AS se
opakovaně neautentizuje
Uživatel, klient
Záruka identity
2. je přijat požadavek uživatele na zdroj
a uživatel je přesměrován na centrální
autentizační webový formulář;
3. uživatel předá své oprávnění a WAM
provede autentizaci proti centrální
databázi uživatelů (často LDAP adresář);
4. WAM nastaví v uživatelově prohlížeči
přístupový příznak (cookie) ke zdrojům
chráněným pomocí WAM (jedná se o šifrované nepersistentní cookie s ID uživatele
v databázi uživatelů, nejedná se o heslo);
5. WAM podle předdefinované politiky
posoudí přístupová práva uživatele a má-li
uživatel oprávnění, povolí mu přístup
ke zdroji. Pokud WAM zjistí při dalším
požadavku na přístup k tomuto zdroji, že
v prohlížeči existuje platný neexpirovaný
příznak v prohlížeči, vynechají se předcházející kroky.
Jak si vybrat?
Jak již bylo uvedeno, na trhu je k dispozici
celá řada produktů pro SSO, a to jak od
menších softwarových společností, tak
od společností renomovaných. Problém
tedy může představovat, jak si z této široké
nabídky vybrat tak, aby systém a jeho funkce
byly pro společnost optimálním řešením.
Při rozhodování o tom, jaký systém SSO
zvolit, je vhodné položit si několik základních
otázek, jako například:
Které aplikace budou zahrnuty do SSO?
Jsou některé z nich typu klient-server?
Podporují zvolené aplikace nějakou jinou
autentizaci než zadáním jména a hesla?
Na základě vyhodnocení odpovědí lze získat
rámec pro výběr správného systému SSO.
Tento přístup volí i společnost ICZ a. s., která
je schopna na základě podobných informací
doporučit nejvhodnější řešení pro implementaci systému SSO a navrhnout takový postup,
který zajistí úspěšné nasazení a následné
správné fungování celého systému.
LADISLAV BERÁNEK
7
a mind for net works
Turn your Network into
an Intelligent Network with
Broadband Traffic Management
Transform broadband pipes into smart networks
by using deep packet inspection and dynamic
traffic control. Allot helps you
manage applications and
services, guarantee a
quality customer
experience, and
contain costs.
www.allot.com
• Gain total traffic visibility
• Get dynamic control of subscriber services
• Provide more broadband services
• Maximize revenue
[email protected]
Americas: 7664 Golden Triangle Drive, Eden Prairie, MN 55344 USA · Tel: (952) 944-3100 · Toll free: (877) 255-6826 · Fax: (952) 944-3555
Europe: NCI – Les Centres d'Affaires Village d'Entreprises ‘Green Side’, 400 Avenue Roumanille, BP309,
06906 Sophia Antipolis Cedex, France · Tel: 33 (0) 4-93-001167 · Fax: 33 (0) 4-93-001165
Asia Pacific: 6, Ubi Road 1, Wintech Centre 6-12, Singapore 408726 · Tel: 65 6841-3020 Fax: 65 6747-9173
Japan: Puri-zaido Ochanomizu 301, 4-2-3 Kanda Surugadai, Chiyoda-ku, Tokyo 101-0062 · Tel: 81 (3) 5297 7668 · Fax: 81(3) 5297 7669 · www.allot.jp
Israel: 22 Hanagar Street, Industrial Zone B, Hod-Hasharon, 45240, Israel · Tel: 972 (9) 761-9200 · Fax: 972 (9) 744-3626