для защиты доступа к локальным сетям, хотя они и преследуют одну цель — предотвратить неправомочный доступ из пределов сети. В оптимальном случае реакция на атаки также является частью концепции.
В зависимости от типа реализации сценарии для защиты доступа к локальным сетям можно разделить на три группы: решения на базе специализированных устройств, серверов и коммутаторов. Первые имеет смысл использовать только в небольших, простых и однородных инфраструктурах вследствие проблем с производительностью, проектированием сети, избыточностью и масштабируемостью. Поскольку такие устройства должны устанавливаться поблизости от защищаемого края сети (безопасность по периметру), стоимость решения довольно быстро возрастает. Предприятие вынуждено ограничивать количество используемых устройств обеспечения безопасности по причине высоких первоначальных инвестиций и последующих затрат на эксплуатацию.
Для более крупных сетей лучше подходят решения на основе коммутаторов или серверов. Серверные решения довольно плохо приспособлены для поддержки неоднородных инфраструктур конечных устройств, и поэтому их эффективность оказывается недостаточной. В результате все чаще они интегрируются в решения, основанные на коммутаторах.
Рынок конечных устройств отличается большой подвижностью, и именно за счет них происходит рост сети, поэтому защита с опорой на коммутаторы подходит лучше остальных. Во-первых, есть возможность масштабирования по мере роста сети. Во-вторых, не нужно приобретать и эксплуатировать дополнительные устройства. В-третьих, функции обеспечения безопасности реализуются непосредственно по защищаемому периметру безопасности — на порту доступа. В-четвертых, в зависимости от реализации очень хорошо может поддерживаться неоднородный ландшафт конечных устройств. И, наконец, в-пятых, такое решение работает как с клиентами на конечной системе, так и без них.
Рисунок 1. Системы доступа на базе коммутаторов принимают решения о том, какой пользователь и к каким ресурсам локальной сети получает доступ. |
Растущее организационное разнообразие (доступ к инфраструктуре необходим обслуживающему персоналу, гостям, клиентам, деловым партнерам) и многочисленные технические варианты (различные типы устройств с разными операционными системами) требуют открытого и гибкого решения обеспечения безопасности на основе коммутаторов (см. Рисунок 1).
АРХИТЕКТУРА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Для выбора наиболее подходящей серии коммутаторов следует рассмотреть всю архитектуру обеспечения безопасности производителя: в какой мере его решение отвечает всем перечисленным требованиям? Необходимо ознакомиться с функциональными компонентами защищенной инфраструктуры коммутаторов и подробно проанализировать соответствующую реализацию. Главенствующее значение имеют четыре компонента:
- аутентификация и управление правилами;
- превентивные возможности карантина;
- распознавание атак;
- реактивные возможности карантина.
К ним добавляются традиционные критерии выбора: надежное управление посредством SNMPv3, SSL и SSHv2, интеграция в системы управления сетью помимо простого мониторинга, устойчивость коммутаторов к атакам по типу «отказ в обслуживании» (Denial of Service, DoS), гибкость средств соединения — от Fast Ethernet до 10 Gigabit Ethernet, соответствие стандартам и открытые интерфейсы, а также размер инвестиций и стоимость обслуживания. Плотность портов и производительность, напротив, при выборе имеют второстепенное значение. Действительно, какая польза от быстрой сети, если ее можно заразить одним-единственным «червем», после чего ни одна из подключенных систем уже не будет функционировать?
Очень важна возможность одновременной аутентификации на порту нескольких пользователей и назначения им различных правил. Это имеет решающее значение в средах передачи голоса по IP (Voice over IP, VoIP), если компьютер подключен вслед за IP-телефоном. Это полезно и в случае миграций, когда предприятие не в состоянии одновременно заменить все коммутаторы доступа, и при использовании оптического волокна до офиса, когда, например, коммутаторы в кабельных каналах или другие мини-коммутаторы осуществляют преобразование с оптики на медь, но при этом либо они не способны провести аутентификацию, либо их модификация сопряжена с большими финансовыми или административными затратами.
АУТЕНТИФИКАЦИЯ И УПРАВЛЕНИЕ ПРАВИЛАМИ
Поскольку не все устройства в сети способны работать с IEEE 802.1х (аутентификация на базе портов), коммутатор доступа должен поддерживать разные методы аутентификации непосредственно на каждом порту (см. Рисунок 2):
- 802.1х для внутренних персональных компьютеров и ноутбуков, а в будущем частично и для IP-телефонов;
- МАС-адрес для принтеров, IP-телефонов и прочих сетевых устройств — камер наблюдения, систем управления производством, датчиков и т. д.;
- портал Web для гостей, консультантов и обслуживающего персонала;
- автоматическое распознавание ко-нечных систем на основе структуры трафика;
- свойства по умолчанию, к примеру для TFTP/BOOTP в целях загрузки бездисковых станций и поддержки функции Wake On LAN.
Рисунок 2. Физический интерфейс коммутатора доступа должен поддерживать несколько методов аутентификации. |
В оптимальном случае для снижения административных издержек коммутатор должен поддерживать на порту сразу все методы. Иначе отделу ИТ придется изменять метод аутентификации при каждом перемещении пользователя. При потребности в одновременной аутентификации нескольких пользователей и устройств на одном порту следует исходить из того, что на нем должны сосуществовать разные групповые правила (см. Рисунок 3). Для персонального компьютера, к примеру, нужны иные правила, чем для IP-телефона, для гостя — иные, чем для сотрудника, и т. д. Аутентификация всех используемых методов должна функционировать с любым сервером RADIUS, а назначенные сервером RADIUS правила должны храниться на коммутаторе. В противном случае возникают задержки при регистрации, проблемы с масштабируемостью и избыточностью при управлении правилами.
Часто коммутаторы доступа поддерживают лишь простые правила для виртуальных локальных сетей (Virtual Local Area Network, VLAN), в то время как в пределах VLAN какой-либо контроль отсутствует. Это ставит целый ряд болезненных вопросов. Что же происходит, когда кто-то подключает к виртуальной сети неавторизованный сервер протокола DHCP и после этого регистрируется с требуемыми полномочиями? Как при использовании программного телефона на компьютере различать голосовой трафик и трафик данных? Как остановить распространение «червя» по виртуальной сети? Итак, политика должна быть более содержательной — в идеале создаваемые правила для виртуальной локальной сети, управления доступом, для приоритетов и ограничения скорости должны быть применимы к специфическому трафику авторизованного пользователя или устройства.
ПРЕВЕНТИВНЫЙ КАРАНТИН
Для принятия решения в области безопасности требуется знать не только то, кто именно обращается к корпоративной сети, но и каким уровнем безопасности обладает используемое аппаратное обеспечение — если это пользователь в традиционном смысле слова, а не машина и не датчик. Отсюда можно сделать вывод о соответствующих особенностях доступа и карантина. К наиболее частым недочетам в системе безопасности конечных устройств относятся:
- отсутствие правильного пакета сервисных программ или последних заплат;
- неработающий антивирусный сканер или устаревшие файлы с сигнатурами;
- недеактивированная маршрутизация (клиент VPN или RAS с активированной маршрутизацией может представлять собой риск);
- отсутствующий или неработающий брандмауэр для интерфейса Internet и/или беспроводного интерфейса;
- неактивированный хранитель экрана с парольной защитой или активированный, но с длительным временем активации.
При помощи методики сетевого карантина клиентская система может быть проверена на «дыры» подобного рода, а доступ к корпоративной сети — в зависимости от результата — блокирован или ограничен. Однако тогда возникают новые вопросы: как отделу ИТ контролировать IP-телефоны с Embedded Linux, Symbian, Embedded Windows или нестандартной операционной системой и устанавливать на них заплаты? Как отслеживать или обновлять ПО такого оборудования, как рентгеновский аппарат, система промышленного управления, камера наблюдения или принтер? Как осуществлять контроль за устройствами — в особенности ноутбуками — гостей и обслуживающего персонала?
С АГЕНТАМИ ИЛИ БЕЗ НИХ
Инсталляция агента, который решит все проблемы, как иногда рекламируется, невозможна ни при какой из этих постановок вопроса: либо по техническим, либо по организационным причинам. Поэтому карантинное решение должно предлагать опции без агентов и на базе агентов без изменения общей архитектуры. В специализированных устройствах SSL-VPN применяется технология безагентного сканирования на базе Java или ActiveX. В будущем это может представлять интерес и для решений, построенных на основе коммутаторов.
В подходах на базе агентов открытые решения, к примеру от Zonelabs (Check Point) или Sygate (Symantec) и Trusted Computing Group (TCG), конкурируют с закрытыми от Cisco и Microsoft. В этом случае следует предпочесть открытую инфраструктуру. Предприятие должно проверить, работают ли его коммутаторы доступа с открытым решением. Продукты на основе агентов очень точны и функциональны, но при этом негибки.
Безагентные решения, где специализированные устройства не применяются, доступны и могут стать весомым доводом в пользу выбора того или иного коммутатора. В таких разработках главным является способность посредника RADIUS перехватывать запросы на аутентификацию и проводить аутентификацию пользователя, а потом на базе любого параметра модифицировать ответ RADIUS и имеющееся правило. Параметром может служить, к примеру, результат сканирования на уязвимости. Однако возможны и другие параметры, в частности происхождение запроса на аутентификацию (Location-Based Policy). Таким образом, коммутатор доступа модифицирует права доступа системы/пользователя к сети в зависимости от того, удовлетворяет ли пользователь или только что подключенная конечная система определенным требованиям. Все это происходит снаружи, и в модификации конечной системы нет необходимости. Метод начинает действовать до того, как клиентская система получит полный доступ к сети.
Безагентные решения очень гибки, однако не в состоянии заранее распознавать все проблемы, касающиеся безопасности. Так, они не гарантируют максимальной точности при сканировании на уязвимости.
РАСПОЗНАВАНИЕ АТАК
При выборе решения следует обязательно поинтересоваться о наличии у производителя коммутатора необходимой экспертизы в области общих технологий обеспечения безопасности, в частности для корректной интеграции системы обнаружения вторжений и брандмауэров в коммутаторы. Простое добавление этих средств в коммутатор отнюдь не позволяет отнести его к соответствующей категории.
Все в большей и большей мере становится возможным рудиментарное распознавание атак на самом коммутаторе, к примеру анализ потоков на третьем и четвертом уровнях для своевременного выявления «червей» и принятия необходимых мер (см. Таблицу 1). К опциям реагирования относятся среди прочего Flow Setup Throttling (FST) и ограничение количества пакетов за 1 с для определенного трафика, как ICMP или сеансы TCP с установкой TCP SYN или ACK.
В этой области идут разработки и открываются широкие перспективы анализа и предотвращения вторжения. Выбранный производитель должен быть в состоянии предложить соответствующие стратегию и решение.
РЕАКТИВНЫЙ КАРАНТИН
Как и любой продукт для обеспечения безопасности, решение на базе коммутаторов должно быть многоуровневым (см. Рисунок 4). Нельзя надеяться на то, что предупредительные меры, в том числе аутентификация, управление правилами и превентивный карантин, решат все проблемы. Поэтому производитель коммутатора обязан предоставить функции для отражения атак и блокирования распространения вирусов и «червей» непосредственно на порту доступа.
Эти методы могут быть только универсальными, т. е. независимыми от типа применяемой конечной системы (персональный компьютер, ноутбук, IP-телефон, принтер, камера наблюдения и т. д.). В идеале они должны работать как со знакомыми, так и с новыми устройствами. И в этом случае необходимо рационально делить пользователей на группы (собственные сотрудники, гости, консультанты, партнеры и т. д.). Такая реактивная функция карантина на коммутаторе дополняет традиционные системы обнаружения вторжения, использовать которые имеет смысл главным образом при доступе в Internet, а также для специализированных серверов или серверных сетей.
Система должна быть открытой для других производителей — как в отношении ввода (события), так и вывода (действия), а также принципа действия (изменения правил, опции оповещения и т. д.). Для того чтобы отследить злоумышленника на основе IP- или МАС-адреса, коммутатор доступа необходим поддерживать автоматическое определение соответствия между адресами. Тогда результаты будут представлены в индексированной таблице (в базе управляющей информации — Management Information Base, MIB). Эти MIB должны использовать и антиспуфинговые решения, к примеру, для предотвращения атак по типу «незаконный посредник» (Man-in-the-Middle) с использованием Ettercap.
ЗАКЛЮЧЕНИЕ
Перед выбором коммутирующего решения защищенного доступа предприятию необходимо тщательно продумать свои потребности и задокументировать их, спрогнозировать развитие собственной инфраструктуры и предполагаемые конечные системы. На основании этого и следует искать открытое, гибкое и масштабируемое решение обеспечения безопасности на базе коммутаторов.
Маркус Нишпель — директор по технологическому маркетингу в регионе EMEA компании Enterasys Networks. С ним можно связаться по адресу: http://www.enterasys.com.
? AWi Verlag