deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:48
Pagina 1
Security
7/8 Compliance 7/8.1
Sentinel – security op het niveau van het management
7/8.1.1 Inleiding Een van de onderdelen van netwerken en systeembeheer dat heel lang heeft gelegen waar het volgens veel mensen hoort, is security. Lang is dat het domein geweest van experts op het gebied van protocollen, firewalls en netwerkanalyse. Ingegeven door (met name Amerikaanse) wetgeving is dat de afgelopen jaren veranderd. SOX
De Hippaa- en Sorbone Oxly- (SOX-)wetgeving zijn bedoeld om aan te kunnen tonen dat bedrijven wetgeving, policy’s en procedures netjes volgen om problemen te voorkomen. Hippaa richt zich hierbij op de medische zorg, waarbij het voorschrijven van medicijnen en consistentie in patiëntdossiers het uitgangspunt zijn van de controles. SOX houdt zich bezig met (Amerikaanse) beursgenoteerde bedrijven om problemen zoals met US foodservice/Ahold te voorkomen. Aangezien beide wetgevingen Amerikaans zijn, lijkt het wellicht nog ver van ons bed, maar ook Nederlandse bedrijven die een ‘aanmerkelijk belang’ hebben in een Amerikaans beursgenoteerd bedrijf, hebben nu al te maken met SOX. Daarbij heeft ook de Europese Unie regelgeving gemaakt. Deze ‘Basel’-richtlijnen zijn nog niet heel bekend, maar de tekenen zijn steeds duidelijker dat Basel belangrijk gaat worden in de Europese markt.
Novell Netwerkoplossingen, aanvulling 27
7/8.1-1
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:48
Pagina 2
Compliance
In Hippa, SOX en Basel wordt aandacht besteed aan ICT en dat is logisch: als u niet zeker weet of de data die in uw systemen zit door geautoriseerde gebruikers ingevoerd zijn (en niet door een hacker of iemand die een wachtwoord ‘gesniffed’ heeft), kunt en mag u dus niet van die gegevens uitgaan. Dat bekent dat wij moeten kunnen aantonen dat er niet met onze gegevens gesjoemeld is en dat er niet op onze systemen ingebroken is. Tot zover is er nog weinig verandering, aangezien dat vanuit beheerders oogpunt altijd al ons doel is geweest. Het grote verschil, en tevens het gebied waar Sentinel zich op richt, is dat we moeten kunnen aantonen dat er geen ‘vreemde’ dingen op het netwerk zijn gebeurd en dat we deze gegevens aan moeten leveren op een manier die voldoet aan de eisen van de management- en complianceauditor. Zonder hulpmiddelen als Sentinel betekent dit dat u daadwerkelijk in logfiles van uw servers, switches, firewalls, mail- en webservers moet gaan controleren of er geen vreemde dingen zijn gebeurd. De meeste beheerders zullen er niet op zitten te wachten om per dag megabytes van dit soort files door te spitten:
Toegegeven: met de steeds bredere inzet van Linux zullen steeds meer beheerders in staat zijn om scriptjes te maken die snel door enorme logfiles kunnen zoeken naar de dingen die wijzen op problemen (denk dan aan verkeerde
7/8.1-2
Novell Netwerkoplossingen, aanvulling 27
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:48
Pagina 3
Security
username/wachtwoord-combinaties, afgebroken verbindingen, enzovoort). Het probleem is echter dat zelfs dit in een organisatie met een paar honderd medewerkers en een aantal servers en systemen minder gemakkelijk is dan het lijkt. • Ieder systeem schrijft logfiles weg op zijn eigen eigenwijze wijze en per device moet u dus uit gaan zoeken hoe u de logfiles moet interpreteren. Zelfs binnen dezelfde soort devices zijn er grote verschillen: Cisco, 3com en HP loggen in hun switches op een volslagen andere manier. • De manier waarop we logfiles uit kunnen lezen verschilt ook nog eens per systeem. Soms kan dat via SNMP, soms via een fileshare, soms via syslog, maar er zijn ook systemen die logfiles wegschrijven in de MySQL-, MS SQL- of andere database. We hebben zelfs systemen meegemaakt waarbij de enige mogelijkheid om bij de logfiles te komen was om een USB-stick in het apparaat te stoppen. • Om snel actie te kunnen ondernemen moet u feitelijk in ‘realtime’ alle logfiles kunnen controleren. U bent natuurlijk veel te laat als u ontdekt dat hackers vanaf vorige week dinsdag al op uw netwerk bezig zijn. • Niet iedere foutmelding is een probleem. Vanuit security-oogpunt bent u waarschijnlijk niet geïnteresseerd in een gewone gebruiker die een keer een verkeerd wachtwoord invult, dat overkomt iedereen wel eens. Verkeerde wachtwoorden worden feitelijk pas een probleem als er een aantal keren wordt geprobeerd in te loggen op hetzelfde account met steeds andere wachtwoorden, of op dezelfde machine met verschillende user-accounts. Deze acties lijken namelijk te wijzen op poging tot inbraak. Daarbij moet u zich meer zorgen maken als iemand probeert
Novell Netwerkoplossingen, aanvulling 27
7/8.1-3
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:48
Pagina 4
Compliance
•
in te loggen met de user ‘root’, ‘Administrator’ of ‘Admin’ dan als ‘baliemedewerker12’. Andersom kan ook: een event kan onschuldig lijken, maar in relatie met andere events op het netwerk kan het wijzen op een groter probleem. Bijvoorbeeld: er wordt geprobeerd met een verkeerd wachtwoord in te loggen vanaf een systeem in de DMZ. Beide acties op zich zijn geen reden tot alarm, maar gezamenlijk is het wellicht wel reden tot bezorgdheid. Dit soort verbanden tussen schijnbaar losstaande acties heten in compliance-vaktermen correlaties.
De problematiek die hierboven geschetst wordt, is exact waar Sentinel zich op richt. Sentinel is dus niet primair bedoeld om pogingen tot inbraak tegen te gaan (niet primair, we komen er later op terug hoe het dan wel kan helpen), maar controleert in realtime alle gedefinieerde apparaten. In de configuratie van Astaro kunt u vervolgens filters plaatsen (wat wilt u wel en wat wilt u niet zien) en correlaties maken. De gegevens die Sentinel verzamelt, worden genormaliseerd, opgeslagen in een database, getoond op een managementconsole en als u wilt kunt u gemakkelijk rapportages hiervan maken (Novell heeft standaardrapportages die voldoen aan de eisen van Hippa, SOX of Basel!).
SOA
7/8.1-4
7/8.1.2 De Sentinel-infrastructuur Sentinel zorgt ervoor dat er een infrastructuur ontstaat waarbij alle losse securitydata van een organisatie worden verzameld op een locatie. De hoeveelheid informatie kan voor grote organisaties ongelofelijk zijn: we kennen gebruikers van Sentinel die per dag 20 GB aan data en duizenden events per seconde genereren. Sentinel 6 gebruikt een Service Oriented Architecture (SOA) waarvan de basis wordt gevormd door de iScale Message Bus. De iScale
Novell Netwerkoplossingen, aanvulling 27
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:48
Pagina 5
Security
Message Bus is geen fysieke machine, maar een service met bijbehorende protocollen die gebouwd is om enorme hoeveelheden data snel en efficiënt te transporteren.
Componenten die gebruikmaken van de iScale Message Bus kunnen op een enkele machine, een netwerk of zelfs over verschillende netwerken verspreid worden geïnstalleerd. Voor het systeem maakt het niet uit: iedereen die gebruikmaakt van de iScale Message Bus doet dat op een van de volgende manieren: als publisher of als subscriber. Een publisher is een device of service die informatie op de iScale Message Bus zet, en een subscriber kan de informatie die op de Bus aanwezig is inlezen. Zodra er informatie op de Bus is, maakt het dus niet meer uit of die uit het kantoor hiernaast kwam of van de andere kant van de wereld. Althans: mits u bandbreedte genoeg hebt om events voldoende snel te transporteren natuurlijk. Dat is een van de redenen waarom we op een aantal plekken kunnen filteren wat doorgezonden mag worden, maar daarover straks meer.
Novell Netwerkoplossingen, aanvulling 27
7/8.1-5
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:48
Pagina 6
Compliance
Publishers
Publishers op de iScale Message Bus worden Collector Managers genoemd. Rechtstreeks of via een proxy (voor het beveiligen van connecties uit bijvoorbeeld een DMZ) zenden Collector Managers informatie naar de iScale Message Bus. Een Collector Manager kan een of meer collectors bevatten. Een collector is specifiek gemaakt voor één type device en bevat alle informatie die van de ruwe data van een device genormaliseerde informatie kan maken:
Dit proces lijkt eenvoudig, maar in de praktijk gaat er veel meer tijd zitten in het uitvinden wat log-informatie pre-
7/8.1-6
Novell Netwerkoplossingen, aanvulling 27
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:49
Pagina 7
Security
cies betekent dan in het coderen van de collector. De informatie die hierboven ontleed wordt, is redelijk rechttoe, rechtaan, maar de informatie die door de collector verzameld wordt kan bestaan uit meer dan 100 meta-tags. Daarnaast kan per klant extra informatie worden toegevoegd om zogenaamde business relevance te leveren: informatie als locatie, afdeling of etage kan belangrijk zijn, maar is natuurlijk nooit standaard gedefinieerd in Sentinel. Al die data worden genormaliseerd op de iScale Message Bus aangeboden. Zo zal het datumveld in bovenstaand voorbeeld worden omgebouwd naar een Sentinelstandaard voor datumnotaties. Als het gaat om Collectors, is het zeer wenselijk om zoveel mogelijk te standaardiseren. Een eenmaal gemaakte collector kan meerdere keren gebruikt worden, mits het om dezelfde hardware gaat: een 3com-collector kan niet gebruikt worden voor Cisco-apparatuur. Gelukkig heeft Novell een hele reeks van Collectors kant-en-klaar op de website staan en deze omvatten de meest gebruikte devices binnen netwerken. De lijst is nu zo’n 60 tot 80 devices lang en wordt regelmatig uitgebreid. Een lijst is te vinden op de volgende URL: http://support.novell.com/products/ sentinel/secure/sentinel6.html. In de praktijk kan een dedicated Collector Manager ongeveer 30 tot 80 devices controleren en zullen in grotere netwerken dus meerdere Collector Managers in gebruik zijn.
Novell Netwerkoplossingen, aanvulling 27
7/8.1-7
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:49
Pagina 8
Compliance
Subscribers
Subscribers lezen informatie op de iScale Message Bus in. De twee belangrijkste subscribers zijn de database (repository) en het Sentinel Control Center. De database mag op dit moment een MS SQL- of een Oracle SQL-database zijn; geen enkele andere database biedt op dit moment de mogelijkheden die u nodig hebt om zo snel zoveel data op te kunnen slaan (ook MySQL niet, hoewel Novell uiteraard bezig is om dit wel mogelijk te maken). Het Sentinel Control Center is de machine (of zijn de machines – het mogen er meerdere zijn) van de beheerder of auditor die het Sentinel-systeem configureert, controleert of gebruikt. In het Control Center definieert u welke informatie u wilt zien. In de eenvoudigste vorm gebeurt dit door het maken van een ‘live view’:
7/8.1-8
Novell Netwerkoplossingen, aanvulling 27
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:49
Pagina 9
Security
In de active (live) views in bovenstaande schermafdruk zijn 9 active views gedefinieerd die verschillende systemen in de gaten houden. Het maken van een dergelijke active view is zeer eenvoudig en verloopt via een wizard:
Novell Netwerkoplossingen, aanvulling 27
7/8.1-9
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:49
Pagina 10
Compliance
In de eerste stap van de wizard bepaalt u welke informatie u wilt zien, of dit nog gefilterd moet worden en of de data die in de grafiek verwerkt zijn ook getoond moeten worden.
In de tweede stap van de wizard bepaalt u de display en refresh rate en de totale tijd die getoond wordt. Doordat de data ook in de database worden opgeslagen, kunt u overigens ook oude data nog bekijken, alleen niet via active views (maar via incidents).
7/8.1-10
Novell Netwerkoplossingen, aanvulling 27
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:49
Pagina 11
Security
In de derde stap van de wizard bepaalt u ten slotte hoe de data getoond moeten worden. Het eindresultaat ziet er vervolgens zo uit:
Overigens zijn de display-interval, display-time en soort grafiek on the fly nog aan te passen. Filters Bij het maken van de active view hebben we al de mogelijkheid gehad om een filter te plaatsen om op die manier niet alle informatie te hoeven zien (we willen immers alleen zien wat informatief en nuttig is). In het bovenstaande voorbeeld zou het kunnen dat u alleen interesse hebt voor events met een severity van 3 of hoger (Sentinel normaliseert alle informatie naar severity levels 0 t/m 5). Het nadeel van filteren in de active view is dat de informatie wel over de iScale Message Bus wordt verzonden en in de database wordt opgeslagen. Als informatie niet
Novell Netwerkoplossingen, aanvulling 27
7/8.1-11
deel 7_8-AV 27.qxp:deel 3_X-AV 15
17-04-2008
09:49
Pagina 12
Compliance
belangrijk is (alle keren dat iemand een correct wachtwoord ingevoerd heeft bijvoorbeeld), wilt u liever niet dat die überhaupt op de iScale Message Bus terechtkomt. Om die reden kunt u filteren op al deze plaatsen:
In deze paragraaf is de basis van Sentinel besproken. Het product kan echter nog veel meer. In een vervolg zullen we aandacht besteden aan de correlation engine, de reporting engine en het iTrac-systeem. Echter, zelfs als u alleen kijkt naar deze basisfunctionaliteit is het al een zeer bijzondere oplossing: hoe gemakkelijk kunt u nu in één oogopslag de beveiliging van status van alle verschillende devices in uw netwerk zien?
7/8.1-12
Novell Netwerkoplossingen, aanvulling 27
