Современные коммутаторы для локальных сетей отличаются не только производительностью, плотностью портов и почти бесконечными списками функций продвижения данных, маршрутизации и управления — все большее внимание уделяется аспектам безопасности. Практически все именитые производители разрабатывают собственные стратегии обеспечения безопасности, которые находятся на разных стадиях разработки. И все-таки на практике преобладают точечные меры.
В последние годы для решения таких требовательных задач, как обработка голосового трафика на базе коммутации пакетов (Voice over IP, VoIP), коммутаторы стали оснащаться функциями обеспечения высокой готовности, назначения приоритетов, управления виртуальными локальными сетями и пропускной способностью, а также питания (Power over Ethernet, PoE). Наряду с коммутаторами старшего и среднего класса сегодня возможности управления и PoE предлагают и многочисленные продукты из нижнего рыночного сегмента.
Однако конвергентная локальная сеть с высокой степенью готовности требует последовательных взаимоувязанных механизмов безопасности. В конце концов, необходимо предотвращать «ужасные» сценарии, когда, к примеру, атаки по типу «отказ в обслуживании» блокируют и трафик данных, и голосовую связь на предприятии. Поэтому почти все известные производители коммутаторов разрабатывают собственные стратегии и концепции безопасности. Неважно, под каким названием — Self-Defending Network (Cisco), Edge Fabric (Hewlett-Packard) или Crystalsec (Alcatel), — но все сходятся в том, что сетевая инфраструктура будущего сама по себе должна быть очень защищенной, чтобы реализация стратегии конвергенции не оказалась напрасной.
ЦЕЛЬ: ИММАНЕНТНАЯ БЕЗОПАСНОСТЬ
«Функции безопасности переносятся из центральных областей инфраструктуры наружу, все ближе к конечным устройствам», — утверждает Клаус Ленсен, специалист по безопасности компании Cisco. При недостаточной защищенности или отсутствии управления «заплатами» конечные устройства могут нанести ущерб готовности сети и — в конечном итоге — деловым процессам. А по мнению Мартина Крауша, главного системного инженера Alcatel, сегодня «настоятельно необходимо», чтобы коммутаторы локальной сети после идентификации потенциального нападения изолировали агрессора и блокировали нежелательный трафик данных. Что касается возможности перевода потенциальных агрессоров на карантин, то маркетологи компании Forrester в исследовании, проведенном осенью 2004 г., отмечают заметные различия в решениях разных производителей: «На первой фазе сетевого карантина используется подход на базе клиента. За исключением продукции Enterasys и Alcatel, другими поставщиками для достижения требуемого уровня зрелости предусматривается вторая стадия, чтобы сетевые маршрутизаторы и коммутаторы могли принимать активное участие в карантине хостов с потенциальными вирусами и «червями» (см. Рисунок 1).
Рисунок 1. Forrester считает Alcatel и Enterasys технологическими лидерами в области безопасности на базе коммутаторов. 3Com и Foundry в исследовании участия не принимали. |
Движущим фактором при переносе функций безопасности на сетевые устройства является то обстоятельство, что классическая модель защиты от атак извне (безопасность по периметру) не обладает должным охватом. Часто персонал предприятий — намеренно или случайно — нарушает правила безопасности. «Сотрудники забирают ноутбуки домой, где те подхватывают вирус, после чего он распространяется по всей корпоративной сети», — приводит пример Гари Хеммингер, директор по маркетингу компании Foundry. Функции безопасности коммутаторов локальной сети, по мнению Маркуса Ниспела, технического директора Enterasys, предоставляют «средства контроля непосредственно на входе в сеть, что гораздо шире возможностей обычного брандмауэра».
Высокие требования встроенной безопасности сети обуславливают принятие ряда довольно сложных мер: архитектура коммутаторов должна обеспечивать высокий уровень готовности, код операционной системы — удовлетворять стандартам качественной защиты, а доступ администратора к коммутатору — тщательно контролироваться. В зависимости от подхода производителя пограничным коммутаторам, устройствам на уровне распределения и в ядре сети отводятся разные роли: от распознавания и блокирования случаев неправомочного доступа путем взаимодействия с оборудованием обеспечения безопасности до ограничения или блокирования необычных, потенциально опасных потоков данных. Через интерфейсы операционной системы коммутатор направляет зеркальный трафик для анализа в систему обнаружения или предотвращения атак (Intrusion Detection/Prevention System, IDS/IPS) и реагирует на полученный результат.
Возможность взаимодействия между сетевыми устройствами, оборудованием обеспечения безопасности и конечными устройствами на стороне клиента имеет очень большое значение, однако до сих пор реализации часто оказываются точечными и зависят от стратегии конкретного производителя. Важным элементом улучшения совместимости являются такие независимые инициативы, как контроль доступа к сети (Network Access Control, NAC), защита доступа к сети (Network Access Protection, NAP) или группа взаимного доверия (Trusted Computing Group). NAC, инициатива Cisco, предполагает проверку программного обеспечения на клиентских конечных устройствах (см. Рисунок 2), а при помощи NAP компания Microsoft собирается создать стандарт де-факто для проверки целостности клиента. Уже в течение продолжительного времени компания решает эту задачу — вместе с гигантами отрасли HP, IBM, Intel и AMD — в рамках консорциума Trusted Computing Group. Недавно вместе с альянсом безопасности передачи голоса по IP (Voice over IP Security Alliance, VoIPSA) к нему присоединилась группа, в которую наряду с Avaya и Siemens входит Alcatel.
МНОГОСТУПЕНЧАТАЯ КОНЦЕПЦИЯ БЕЗОПАСНОСТИ
Всеобъемлющую последовательную концепцию безопасности представляет собой Crystalsec Information Security Framework от Alcatel. Этот подход предполагает разделение потребностей в безопасности на три сегмента: «безопасность устройства» (т. е. самого коммутатора), «безопасность до устройства» (т. е. соединения с коммутатором) и «безопасность через устройство» (трафика данных). В понятие «безопасность устройства» входят сопротивляемость коммутатора атакам DoS и исключение «черных ходов». К «безопасности до устройства» относятся надежные управляющие соединения по шифруемым коммуникационным маршрутам посредством SNMPv3, SSL или SSH, а также «раздельное управление», т. е. временное или качественное ограничение прав доступа различных администраторов вплоть до выполнения или принятия отдельных групп команд на определенных портах. И наконец, «безопасность через устройство» охватывает аутентификацию пользователей на основе имени пользователя и пароля или данных о компьютере (IP- и МАС-адреса, битовые сигнатуры и т. д.). К ним добавляются стандартные механизмы — списки контроля доступа (Access Control List, ACL) и отнесение аутентифицированных пользователей к определенным рабочим группам при помощи виртуальных сетей.
По словам Мартина Крауша, в системах Alcatel посредством простой аутентификации портов на базе 802.1х можно проверять и другие данные о компьютере, включая активацию вирусного сканера или актуальное обновление вирусных сигнатур. Если персональный компьютер не соответствует профилю безопасности предприятия, пользователь автоматически переводится в карантинную область, где самостоятельно может осуществить необходимые обновления. Как только его система станет соответствовать централизованно определяемому профилю безопасности, коммутатор автоматически допускает ее в соответствующую виртуальную сеть. Отнесенные же к потенциальным агрессорам пользователи локализуются, а их трафик блокируется на уровне порта.
Аналогичную цель преследует и лидер рынка Cisco со своей «самообороняющейся сетью» — Self-Defending Network. Концепция охватывает четыре области: надежную передачу, защиту сети, проверку контента и защиту конечных устройств (см. Рисунок 3). Cisco делает ставку на собственные коммутаторы, маршрутизаторы и брандмауэры, а также — в рамках NAC — на агенты на стороне клиентов (Cisco Security Agent, CSA 4.5). Модуль управления коммутаторами Supervisor 32 от Cisco выпускается с многочисленными функциями обеспечения безопасности: к примеру, аппаратным ограничением скорости на втором и третьем уровне, защитой отправителя IP (снупинг DHCP), ACL на каждом порту, качеством услуг (Quality of Service, QoS) на базе МАС, защитой плоскости управления (ограничением скорости соединения с плоскостью управления) и 802.1х, включая специальные расширения (см. также статью К. Хернштайн «Хранители Грааля»). По данным компании, коммутаторы серии Catalyst с Supervisor Engine 32 и Policy Feature Card 3 (дочерняя карта Supervisor) способны отражать более 20 вариантов атак DoS. Безотказность работы с переключением при отказе за менее чем 1 с обеспечивает безостановочное продвижение данных (Nonstop Forwarding, NSFO) и контекстное переключение (Stateful Switehover, SSO).
Для защиты от появления нежелательных конечных устройств Enterasys, как и Cisco, придерживается подхода на базе клиента, однако без самого клиента. Он предполагает использование двунаправленных коммуникаций с внешними сканерами уязвимости — Nessus или BindView. «Динамическая реакция на вторжение» блокирует случаи опасного доступа, как утверждают в компании, непосредственно на порту доступа, однако проверка статуса вирусного сканера на персональном компьютере требует наличия агента.
Маркус Ниспел из Enterasys указывает на то, что аутентификация по стандарту 802.1х имеет ограниченные возможности: «Конвергентные решения будут все чаще предполагать подключение к сети гетерогенных конечных устройств, которым также потребуется аутентификация». В таком случае важными компонентами становятся аутентификация на базе МАС и Web, а также выявление конечной медиа-точки по протоколу обнаружения на канальном уровне (Link Layer Discovery Protocol — Media Endpoint Discovery, LLDP-MED). Коммутаторы Enterasys поддерживают разные методы аутентификации, а также нескольких пользователей и правил на каждом порту. Alcatel намеревалась ввести нечто подобное только в I квартале 2005 г. Nortel ориентируется на предоставление услуг в зависимости от пользователя, а также 802.1х на базе Multi-MAC: всякий пользователь по результатам процедуры регистрации в соответствии с 802.1х на любом порту коммутатора получает одинаковые свойства безопасности и QoS.
Однако безопасность — это не только защита доступа, в зависимости от концепции производителя она обеспечивается — в различной мере — вплоть до ядра. Коммутатор/маршрутизатор Black Diamond 10000 от Extreme, к примеру, предлагает операторские функции виртуальной маршрутизации: для повышения уровня безопасности он может делить ядро на несколько логических сетей третьего уровня.
МНОЖЕСТВО ПЛАНОВ, СХОЖИЕ ЦЕЛИ
Сетевая стратегия Сisco под названием «Интеллектуальная информационная сеть» (Intelligent Information Network, IIN) нацелена на все большую интеграцию: после фазы с фокусировкой на интеграцию передачи данных, голоса и видео при помощи виртуализации сетевых ресурсов должна последовать фаза интегрированных услуг. Конечной целью являются интегрированные приложения с непосредственными ориентированными на приложения сетевыми услугами. Как лидер рынка Cisco задает ориентир всем остальным. Основная нагрузка по обеспечению безопасности ложится на специализированные модули коммутаторов ядра. Как отмечает Клаус Ленсен, сегодня коммутаторы оснащаются модулями обеспечения безопасности с такими функциями, как брандмауэр, VPN, IDS/IPS, распознавание и предотвращение DDoS (распределенные атаки типа DoS), а механизмы обеспечения высокой готовности предусматривают внешнюю и внутреннюю избыточность шасси и превращают коммутаторы в высокопроизводительные специализированные устройства, гарантирующие необходимый уровень безопасности.
Alcatel направляет свои усилия на расширение независимого от производителя подхода к безопасности сети. До апреля производитель должен интегрировать новый автоматизированный карантинный механизм (Automated Quarantine Engine, AQE) в систему управления Omnivista. По утверждению системного инженера Alcatel Крауша, AQE позволит централизованно выявлять нападения на основе стандартизированных системных журналов «практически любых» IDS и брандмауэров, что поможет коммутаторам принимать должные меры по их отражению.
ПОДКЛЮЧЕНИЕ ВНЕШНИХ УСТРОЙСТВ
Похожим путем идет Enterasys. По словам специалиста компании Ниспела, уже сегодня выпускаемое ими оборудование способно обработать любые события систем третьих производителей, нормализовать их при помощи IDS Dragon и преобразовать, в свою очередь, в другие события, включая изменение статуса порта или порт виртуальной локальной сети на коммутаторе. Вскоре должны появиться решения для интеграции чужих конечных систем в процесс аутентификации (см. Рисунок 4). Кроме того, как утверждает Ниспел, во второй половине года еще больше функций IPS будут перенесены непосредственно в коммутаторы доступа.
Благодаря применению инструментария Sygate компания Extreme Networks также способна проводить автоматическую проверку целостности для хостов и пользователей. Коммутатор/маршрутизатор ядра Black Diamond 10000 от Extreme оснащается программируемыми специализированными интегральными схемами (Applications Specific Integrated Circuit, ASIC), а также инструментами для анализа трафика данных в реальном времени под названием «технология ClearFlow». Многоступенчатые механизмы фильтрации принимают во внимание не только пакеты, но и потоки. Через интерфейс в операционной системе Extremeware XOS коммутатор, к примеру, в случае нетипичной последовательности пакетов направляет ее копию на IDS. Extreme обещает реализовать двунаправленную коммуникацию уже через несколько месяцев, и тогда IDS сможет запирать порты коммутатора (ремедиация). Ожидается, что этот подход будет работать с устройствами различных производителей.
Foundry ведет разработки в том же направлении: на первый план выдвигается оперативный мониторинг собственных коммутаторов посредством Sflow. «Мы планируем расширить в 2005 г. свои инфраструктурные предложения за счет средств выявления опасностей, — заявил директор по маркетингу Хеммингер, — и работаем над тем, чтобы самые разные поставщики могли использовать наш мониторинг Sflow для обнаружения вторжений и своевременного оповещения об угрозах в отношении инфраструктуры ИТ. Таким образом, мы способны поддерживать системы как на базе сигнатур, так и на основе распознавания аномального поведения».
В данное время Foundry занята переводом функций разделения на коммутаторы приложений семейства ServerIron. Подобные коммутаторы седьмого уровня, изначально задуманные для распределения нагрузки в серверных фермах, берут на себя все больше задач по обеспечению безопасности, в том числе отражение атак DoS, ограничение скорости или ускорение SSL. Управление коммутаторами приложений от Foundry, точно так же как и коммутаторами второго/третьего уровня того же производителя, осуществляется посредством IronView Network Manager (INM). С конца 2005 г. INM получит функцию ремедиации.
Nortel в рамках многоступенчатой архитектуры обеспечения безопасности предлагает взаимодействие между IDS (которая в случае Nortel называется системой защиты от угроз — Thread Protection System, TPS) и брандмауэром. TPS передает подозрительные сигнатуры брандмауэру, который затем блокирует соответствующий поток. В ближайшем будущем Nortel собирается реализовать отключение портов на коммутаторах на основании распознанных TPS сигнатур, но сначала (во II квартале 2005 г.) маршрутизирующий коммутатор Ethernet 8600 получит новый интегрированный брандмауэр.
3Com в сотрудничестве с китайским производителем Huawei также нацеливается на корпоративный рынок. До сих пор компания делала ставку на специализированные коммутаторы с функциями обеспечения безопасности, в частности на представленные в конце 2004 г. устройства 7245 и 7280. Стратегия всеобъемлющей безопасности сети в равной мере нацелена на создание самообороняющейся сети. Благодаря недавнему приобретению TippingPoint, производителя IPS, 3Com теперь заявляет о возможности отражения атак близко к реальному времени. По словам ее исполнительного директора Брюса Клафлина, разработкой инфраструктурных продуктов, как и в случае недавно появившегося коммутатора ядра 8800, занимается Huawei. За создание приложений, например VoIP, и услуг (обеспечение безопасности и проч.) отвечает 3Com. Но, по мнению Клафлина, это не исключает появления модулей TippingPoint для коммутаторов Huawei.
АКЦЕНТ НА ГРАНИЦЕ СЕТИ
Подразделение HP, занимающееся коммутаторами (семейство ProCurve), пошло дальше всех в концентрации усилий на интеллектуальных пограничных коммутаторах: выдвинутая компанией концепция Edge Fabric предполагает «сосредоточение всего интеллекта» на краю сети. В ядре должен находиться лишь один высокопроизводительный коммутатор с высокой пропускной способностью и большой плотностью портов, который будет пропускать уже проверенный и квалифицированный трафик данных (см. статью Ш. Роммеля «Пограничный пост»). В соответствии с этим HP переводит некоторые задачи на край сети, среди них — глубокая инспекция пакетов, распределение нагрузки и обезвреживания инфекций. К лету HP намерена дополнить функциональность своих устройств 5300 и 5400 подавлением вирусов, т. е. анализом потоков данных с ограничением пропускной способности в случае вирусной атаки.
Поскольку многие атаки сегодня ориентированы на IPv4, отрасль внимательно следит за переходом с IPv4 на IPv6, в том числе с точки зрения безопасности. По мнению специалистов, механизмы проверки, в частности контрольные суммы, смогут значительно повысить безопасность трафика данных. Некоторые даже утверждают, что только IPv6 в состоянии сделать реальностью целый ряд концепций, к примеру самообороняющиеся сети.
БЕЗОПАСНАЯ СЕТЬ
Подходы производителей коммутаторов и стадии реализации решений могут варьироваться, но все хотят добиться по возможности тесной интеграции функций обеспечения безопасности в сети. При этом мониторинг безопасности необходимо увязывать с управлением сетью и клиентами, чтобы администратор одновременно мог наблюдать за безопасностью, производительностью и статусом конечных устройств. Кроме того, из-за анализа безопасности не должна страдать производительность, а сетевые устройства обязаны взаимодействовать с оборудованием обеспечения безопасности через стандартизированные интерфейсы. Только таким образом можно реализовать эффективную защиту от атак без привязки к продуктам конкретного производителя. Михаэль Зайпп, менеджер по продуктам компании D-Link, справедливо отмечает, что вместе с растущими списками функций безопасности следует рассматривать и «общую безопасность здания».
По словам Мартина Руоффа, главы службы поддержки Nortel, все более важными становятся роли «оператора и акселератора безопасности», т. е. ответственного за меры безопасности и своевременное их принятие. Эксперт компании Enterasys Ниспел замечает, что локальные ускорители позволяют сегодня пользоваться интеллектом седьмого уровня на коммутаторах локальной сети. Механизмы анализа для приложений с производительностью 10 Гбит/с вот-вот станут реальностью и получат распространение уже в ближайшие год-два. В следующем поколении эта функция будет предлагаться по невысокой цене практически во всех коммутаторах доступа от ведущих производителей.
Однако не каждую задачу, связанную с безопасностью, можно перенести на коммутаторы. Так, проверка потоков данных на вирусы, «черви», троянцы и т. д. останется за специализированными устройствами. Причина этого, утверждает Крауш из Alcatel, заключается в быстроте обработки современных ASIC, которые в случае коммутаторов должны обеспечивать высокую скорость продвижения данных при коммутации и маршрутизации, а в случае IDS — специализироваться на эффективной фильтрации контента потоков данных. Вопросы управляемости также мешают консолидации всех задач на коммутаторах: последние не рассчитаны на получение обновлений при появлении нового вируса. Коммутаторы с поддержкой обновления в процессе работы неизмеримо повысили бы административные издержки. Предприятиям гораздо выгоднее передать решение подобных задач — в самозащищающейся сети или нет — специализированным устройствам.
Вильгельм Грайнер — редактор LANline. С ним можно связаться по адресу: wg@lanline.awi.de.
? AWi Verlag