Self-defending Networks: reţelele secolului XXI

Notă: acest articol a fost publicat şi în numărul din noiembrie al revistei ComputerWorld România.

Termenul de “self-defending network” este la prima vedere o simplă denumire aruncată pe piaţa IT de o serie de producători de echipamente menite să securizeze reţelele de date, cu simplul scop de a obţine un impact de marketing cât mai puternic. Adevărul este bineînţeles undeva la mijloc, între produs şi imaginea acestuia.

O reţea capabilă să se apere singură, aşa cum sugerează denumirea, presupune o infrastructură inteligentă, capabilă să ia decizii corecte în momente critice, fără a avea nevoie de intervenţia umană. Acest lucru se poate obţine prin implementarea mai multor soluţii de securitate menite să lucreze împreună, ca o platformă unitară în cazul unui atac informatic. Dar de ce este nevoie de o astfel de investiţie, mai ales când fiecare calculator se poate proteja folosind soluţii de tip antivirus sau firewall?

O serie de studii recente au arătat că nivelul pierderilor financiare suferite de companii ce au fost ţinta unor atacuri informatice a crescut îngrijorător în ultima perioadă. Dacă în anul 2000 pagubele erau cauzate de atacuri întâmplătoare, precum virusul “ILOVEYOU” care a infectat 45 de milioane de sisteme în prima zi, situaţia stă cu totul altfel în zilele noastre. Astfel se constată o creştere semnificativă a atacurilor directate spre o anumită ţintă, cu scopuri precise şi bine organizate. Un grup de atacatori al anului 2008 nu mai programează pentru a exploata o vulnerabilitate în căutare de afirmare în domeniu, ci pentru a obţine într-un final venituri din această activitate. O sursă posibilă de bani, sub orice formă este o posibilă ţintă, deci orice companie poate fi vizată.

Tot în această idee atacurile informatice au devenit tot mai complexe şi devin cu atât mai periculoase cu cât o bună parte dintre ele au avantajul de a porni din interiorul companiei prin diverse mijloace. O structură informatică sigură a zilelor noastre nu se mai poate baza pe soluţii de tip antivirus sau firewall personal, şi are nevoie de o combinaţie de mijloace de prevenire şi tratare al unui posibil incident de securitate. Aceasta are nevoie de mijloace de securitate adaptive în fiecare punct, deoarece oprirea unui atac complex nu se poate baza pe un singur echipament.

O explicaţie a faptului că un firewall ce studiază pachetele la nivelele 3-4 ale modelului OSI plasat la intrarea în reţea nu este suficient este creşterea exponenţială a atacurilor directate spre diferite aplicaţii cu conţinut web. Astfel, s-a constatat că cel mai atacat serviciu la nivel mondial este HTTP, acesta transportând date pentru diferite platforme. Mai departe, 70% din atacurile orientate către servere web şi în speţă protocolul HTTP exploatează vulnerabilităţi ale serviciilor, folosind diferite pachete de date ce pentru un dispozitiv de inspecţie de nivel 3-4 pot părea trafic legitim. Urmând această linie, se poate observa că viruşii ce afectează sistemele sunt din ce în ce mai bine construiţi. Este dificil să menţinem o reţea mare de calculatoare complet protejată pornind de la soluţii de antivirus instalate pe staţiile de lucru. Astfel, accentul trebuie să se pună atât pe prevenţie cât şi pe oprirea propagării în contextul în care conexiunile de tip VPN spre exemplu nu permit analizarea traficului ce leagă nodurile principale dintr-o reţea de date privată.

Cea mai mare problemă o pun tipurile de ameninţări ce nu sunt încă documentate. Astfel, o reţea cu adevărat inteligentă trebuie sa recunoască şi să reacţioneze la diferite comportamente ce ar putea pericilita siguranţa proprie, deşi nu se pot identifica semnăturile necesare pentru a cataloga atacul. Pornind de la astfel de ameninţări s-au conturat o serie de inovaţii în domeniul securităţii informatice, care au devenit astăzi standardul unei reţele sigure. Prin implementarea unor tehnologii într-o reţea existentă, aceasta poate fi adusă cu puţin efort la cerinţele standardelor actuale.

Primul pas a este renunţarea la securitatea bazată pe un singur punct de control, şi replicarea acestuia în noduri-cheie din întreaga infrastructură. Acest complex sistem de control poartă numele de prezenţă – reţeaua va deveni conştientă de tot ceea ce se întamplă în toate segmentele ei. Aceste puncte de control nu trebuie să fie echipamente dedicate, ci mai degrabă platforme cu servicii integrate de securitate: routere, switchuri, servere. Din punct de vedere al soluţiilor de securizare, acestea trebuie sa ofere servicii de bază de control al accesului, inspecţie de date, monitorizare şi raportare.

Al doilea pas este implementarea unui context de securitate pentru orice acţiune ce se petrece în interiorul reţelei. Spre exemplu, când un utilizator se va conecta la reţea, infrastructura va obţine două seturi de credenţiale: unul care identifică persoana ce se conectează şi unul care identifică sistemul care se conectează. Aceste doua informaţii luate împreună pot forma un context după care o reţea modernă permite sau blochează traficul pe măsură ce acesta se generează. Contextul format dintr-o pereche utilizator-sistem este necesar pentru a preveni diferite cazuri de incidente. Spre exemplu, dacă staţia este infectată cu un virus, traficul este izolat, iar utilizatorul este îndemnat printr-un mesaj să foloseasca un alt sistem şi să contacteze administraţia reţelei.

Al treilea pas este adăugarea unor relaţii între elemente, bazate pe încredere administrativă. Acest lucru permite unui sistem să accepte trafic sau nu de la un alt sistem în funcţie de contextul de securitate în care acesta rulează. Aceste relaţii de încredere trebuie să aibă mai multe proprietăţi, printre care denumirea sistemului, utilizatorul, locaţiei în reţea sau nivelul de securitate al corespondentului. O relaţie de încredere nu este în general permanentă, şi este într-o continuă evaluare, monitorizare şi raportare.
Toate acestea se pot obţine implementând diverse tehnologii, oferite de o gamă variată de producători.

Una din tehnologiile importante este cea a securizării staţiilor şi serverelor, în combinaţie cu folosirea unui sistem de tip Network Admission Control. Astfel, un administrator poate implementa cu uşurinţă o politică de securitate în întreaga reţea. Pe echipamentul ce serveşte rolul de NAC se pot determina o serie de reguli după care traficul de la un punct din reţea este permis sau nu, în funcţie de o serie întreagă de criterii. Fiecare staţie va avea instalate clasicele servicii de antivirus şi firewall, dar şi un agent de securitate care monitorizează în permanenţă tot ceea ce se întâmplă local. Acesta poate verifica evenimentele de pe sistem, actualitatea bazei de date a antivirusului, integritatea regulilor de firewall sau instalarea actualizărilor de sistem de operare. Un sumar al acestor verificări vor desemna o parte din contextul de securitate al locaţiei respective. Un exemplu practic este impunerea unor reguli ce pot forţa un utilizator să-şi păstreze sistemul de operare şi antivirusul actualizate la zi, astfel scăzând simţitor şansa propagării unui virus în reţea.

O altă tehnologie importantă este cea a limitării propagării unui atac. Deşi o politică de securitate bine implementată poate rezolva multe probleme, trebuie să existe mecanisme într-o infrastructură care să reacţioneze activ în cazul unui atac informaţional reuşit. De la răspândirea unui virus până la atacuri de tip Distributed Denial of Service, incidentele trebuiesc oprite într-un mod organizat şi automatizat. Acest lucru nu este posibil folosind doar diferiţi agenţi de securitate ce raportează statusul unui sistem. În cazul unei reţele moderne se vor plasa în diferite noduri strategice senzori de tip Intrusion Detection System care vor analiza în timp real traficul ce parcurge segmentul respectiv. Odată ce se observă un comportament anormal faţă de linia normală de lucru se pot transmite alerte, iar contextul de securitate pentru diferite locaţii se va schimba în mod dinamic, permiţând astfel izolarea unui incident şi diminuarea impactului pe care îl are asupra infratructurii de date. Acest comportament este o îmbunătăţire evidentă faţă de protocoalele de autentificare clasice, care după transferul iniţial de credenţiale şi aprobarea sau respingerea acestora nu îşi mai schimbă contextul de securitate.

Pentru ca izolarea unui incident să poată avea loc, toate echipamentele cu rol major în reţea trebuie să poată să lucreze cu contexte de securitate şi să analizeze în permanenţă, în timp real corelaţia dintre acestea şi evenimente. Odată ce o astfel de corelaţie este identificată ca un posibil incident, echipamentul trebuie să decidă gravitatea situaţiei, impactul asupra reţelei, şi primul nod unde traficul ar putea fi oprit pentru a nu fi afectată întreaga reţea.

Pe lângă atacurile ce pot întrerupe activitatea unei reţele, există o serie întreagă de probleme ce nu intră în categoria unui incident grav de securitate. O reţea inteligentă, capabilă să se apare singură trebuie să poată filtra şi conţinuturi cu caracter de spyware, spam sau phishing. Aceste filtre presupun inspecţie la nivelul 7 pe modelul OSI şi pot preveni diferite posibile incidente, de la descărcarea unui virus de pe internet, abuzul asupra anumitor seturi de aplicaţii, până la descoperirea traficului mascat în cereri HTTP false.
Construcţia şi implementarea soluţiilor de securitate care să îndeplinească aceste sarcini s-a făcut în anii trecuţi prin prisma construirii unei reţele care să răspundă activ la atacuri. Studiile arată că această metodă nu mai este eficientă complet, fiind nevoie de o altă perspectivă. Astfel, s-a migrat către soluţii ce oferă un răspuns la incidente atât în mod activ, cât şi adaptiv ceea ce aduce un plus de securitate în cazul atacurilor cu rădacină încă necunoscută.

Astfel de soluţii ajută la ridicarea standardelor focalizate pe cei patru vectori care conduc o reţea cu un înalt grad de securitate: integritate, confidenţialitate, uptime şi disponibilitate.
Deşi atacurile informaţionale devin din ce în ce mai complexe şi au devenit un mijloc de a aduce profituri pentru multe grupuri, o companie se poate feri de majoritatea problemelor derivate din aceste acţiuni adopdând o poziţie fermă din punctul de vedere al securităţii infrastructurii informatice. Pe lângă o politică de securitate puternică, cunoscută şi adoptată de toţi angajaţii este nevoie şi de implementarea unei reţele inteligente, capabilă să se adapteze oricăror amentinţări pot fi aduse de prezent şi de viitorul apropiat.

« IT Café – episodul 1 | Home | IT Café – Episodul 2 »

• Blog & Podcast Feeds

  • 
  • 
  • 

• Autori

  • Ana-Maria Boldizsar
  • Ionuţ Boldizsar
  • Mihai Doboş

• Discuţii recente

  • Radu - Eosif Mihailescu on IT Café – episodul 1
  • Radu - Eosif Mihailescu on IT Café – Episodul 2
  • Dan Mica on IT Café – Episodul 3
  • Dan Mica on IT Café – Episodul 2

• Arhive

  Select Month June 2009  (1) March 2009  (2) February 2009  (6) January 2009  (1) December 2008  (2) November 2008  (2) October 2008  (5) September 2008  (11) August 2008  (2)