Information Assurance

Information Assurance 6/2007

vychází 15. 9. 2007

Bezplatný měsíčník vydávaný CNSE spol. s r. o. ve spolupráci s pořadateli a partnery konference Security and Protection of Information (www.unob.cz/spi)

Provideři – vyvedeme vás z krize Rozhovor s Rami Hadarem, CIO a prezidentem Allot Communications

Obsah Rozhovor s Rami Hadarem, CIO a prezidentem Allot Communications _ 1–2 Úvodem – Jak na kvalitu služeb sítě _ _ _ 2 Traffic management VI _ _ _ _ _ _ _ _ _ _ 3 Microsoft IIS 7 – nová verze WWW serveru _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 4 Monitorování bezpečnosti sítě _ _ _ _ _ _ 5 GiTy řeší bezpečnostní požadavky ČEZ _ 6 Systémy Single Sign-On _ _ _ _ _ _ _ _ _ 7

Společnost Allot Communications byla založena v roce 1990 a dnes má 250 zaměstnanců, z nichž více než 100 jsou inženýři. Poté, co získala vedoucí postavení v oblasti optimalizace inteligentních IP služeb, prodala svá zařízení již do 118 států. Letos otevřela zastoupení i v České republice, proto jsme se obrátili s prosbou o rozhovor na Rami Hadara, CEO a prezidenta této společnosti. Co říkáte na názory o krizi trhu telekomunikačních služeb? Koncem devadesátých let se pozornost síťových firem přesunula od řídicí infrastruktury (směrovače, přepínače) k aplikacím

a uživatelům. Pro providery toho však bylo uděláno méně. Pozornost se soustřeďovala na zvyšování přenosové rychlosti, tedy šířky pásma, ale zapomínalo se na obsah přenášených dat. A tak se postupně dospělo k jistému kritickému bodu, protože přenášený obsah dat si vynucoval stále více a více šířky pásma. A dnes je takový stav, že i naše děti, když si stahují videosoubory či prohlíží videoklipy, přispívají ke „krizi pásma“. Přitom řada nových aplikací naopak vyžaduje krátkou dobu odpovědi a minimální zpoždění, takovéto podmínky je však velký problém zajistit; v důsledku toho jsou sítě stále dražší a dražší. Někdo to jednou bude muset zaplatit.

2

Information Assurance 6/2007

Úvodem Jak na kvalitu služeb sítě

Provideři…

V tomto letos posledním čísle Vás seznámíme se společností, jejíž produkty jsou určeny pro zajištění kvality síťových služeb (QoS) a traffic managementu – se společností Allot Communications (http://www.allot.com).

Kam to podle vás povede? Zkuste si představit situaci řízení uživatelů, kdy náročné aplikace vyvolají hlad po pásmu a zároveň zkonzumují všechny investice. Omezená kapacita na splnění požadavku aplikací nebude stačit, což je moment, kdy do centra pozornosti nastoupí optimalizace IP služeb.

S problémem kvality služby zápolí klasické prvky sítě – směrovače a přepínače – už léta. Problémem je jejich univerzálnost a složitost. Zabezpečení kvality služby je přitom vyhraněná činnost, kterou je lépe realizovat specializovaným zařízením – tzv. formovačem provozu (traffic shapper). Produkty firmy Allot Communications jsou s jeho pomocí schopny garantovat parametry pro nejrůznější aplikace (hlas, video, databáze, ...), protokoly (HTTP, FTP, P2P, ICQ, ...) a uživatele identifikované IP či MAC adresami, případně jmény (prostřednictvím adresářové služby). Produkty Allotu činí z poskytování síťových služeb velmi pružnou a tvůrčí záležitost. Například zákazníci Českého bezdrátu mohou měnit nastavení minimální a maximální rychlosti svého přístupu k jednotlivým službám Internetu i přidělovat jim priority dle vlastních požadavků a potřeb (služba Eri-Garant). Zákazníci Net4net, a. s., si zase mohou pružně určovat požadavky na kapacitu spojení i kvalitu služby (služba IP Optimum). Uživatelé tak dostávají služby šité na tělo. Protože se v tomto čísle budeme podrobněji věnovat problematice sítí, nakladatelství Computer Press nám věnovalo vhodnou knihu a to „Zabezpečení sítí pomocí Cisco PIX Firewall“ autorů Davida W. Chapmana Jr. a Andy Foxe; kniha má 368 stran, rok vydání byl 2004, prodejní kód: K0900, ISBN: 80-722-6963-1, EAN: 978-80-7226-963-1, cena 650 Kč. A nezbytná otázka: v kterém roce byl firewall PIX navržen (tentýž rok byl časopisem Communications Magazine označen za produkt roku). SVĚTLANA PROKSOVÁ

Information Assurance Bezplatný zpravodaj vydávaný na podporu konference Security and Protection of Information www.unob.cz/spi, e-mail: [email protected]

Vydavatel: CNSE spol. s r. o. Zodpovědná redaktorka: Světlana Proksová Redakční rada: Martina Černá, Jaroslav Dočkal, Ivo Němeček, Petr Lasek, Jiří Unzeitig, Milan Jirsa, Josef Kaderka Grafická úprava: Omega Design, s. r. o. Registrace MK ČR E 17346 ISSN 1802-4998

(Dokončení z první strany.)

Jak byste charakterizoval soudobé požadavky poskytovatelů? Nové aplikace kladou stále větší požadavky na šířku pásma. Uvažte například, jaké celkové požadavky na šířku pásma páteřních sítí klade Skype díky bezplatnosti svého používání. A ty požadavky navíc přišly skokem. Tradiční infrastruktura (kabeláž, WiFi či 3G sítě) tyto nové kvantitativní požadavky není schopna zajistit a přitom by zároveň měla plnit kvalitativní požadavky kritických aplikací, jako je dodržení rozptylu zpoždění. Co radíte poskytovatelům, jak mají postupovat? Řešením je transformace obyčejných datových toků na inteligentní; my k tomu používáme technologii DPI. Použiji analogii: dovedete si představit leteckou společnost, která neví, kam své cestující přepravuje; kdo cestuje za zábavou a kdo za byznysem? Nemůže taková společnost nezkrachovat? Obdobně řada poskytovatelů netuší, jaké aplikace jejich zákazníci provozují, a protože to neví, nemohou své sítě optimalizovat tak, aby plnily jejich požadavky a měly z toho zisk.

Rami Hadar CEO a prezident společnosti Allot Communications. Za svoji předchozí kariéru zakládal a vedl řadu ICT společností v oblasti buňkových sítí, širokopásmových bezdrátových přenosů, WiMax technologie a sítí MPLS.

jim zdroje. Řízení QoS uživatelů nakonec uvádí specifické zákaznické požadavky do souladu s jeho SLA (Service Level Agreement – dohoda o úrovni služeb). Například lze dát prioritu VoIP či videokonferencím a v pracovní době omezit P2P aktivity. Co se zavedením vaší technologie podstatně změní? Před instalací řešení Allotu provider často nebyl schopen kvantitativně vyjádřit kvalitu poskytovaných služeb. Po jeho zavedení může své služby diferencovat v souladu s SLA. Například pro aplikace typu Google může vyčlenit tak velké pásmo, aby nenarušovalo provoz kritických aplikací.

Mohl byste uvést konkrétní příklady? Vezněme si například přenosy P2P; stovky dětí si stahují poslední Madonnin klip, což má za následek zahlcení sítě. Síťoví operátoři pak stojí před dilematem, zda omezit jejich aktivity anebo přidat pásmo. Často proto volí třetí řešení, naše, které tuto situaci zvládne a návratnost investice se pohybuje mezi 3 až 6 měsíci. Anebo se podívejme na Skype. Ví poskytovatel, o kolik pásma v důsledku jeho používání přichází? A ví mobilní operátoři, o jaké přichází zisky z telefonování?

Co vše obsahuje portfolio vašich produktů? Na nejnižší úrovni je AC400 NetEnforcer, který je schopen zvládnout 4 000 uživatelů při rychlosti 100 Mb/s, což jsou ideální parametry pro menšího poskytovatele. Na druhém konci výkonnostního spektra je NetEnforcer AC2500 s 5 Gb/s a 80 000 současně obsluhovanými uživateli. Nedávno jsme dali na trh Allot Service Gateway, první průmyslovou bránu podporující Ethernet o 10 Gb/s. Při tomto obrovském výkonu má náš produkt navíc velmi zajímavou cenu.

V čem spočívá podstata Vámi používané technologie DPI – Deep Packet Inspection? Náš produkt hluboce nahlíží do struktury paketu s cílem identifikovat aplikace a přidělovat jim priority v souladu s politikou stanovenou poskytovatelem. Tvořen je třemi částmi, které zajišťují vizualizaci sítě, aplikační řízení a řízení QoS uživatelů. Vizualizační část identifikuje běžící aplikace a odhaluje, kteří uživatelé je provozují. Aplikační řízení pak může aplikacím přiřazovat priority a přidělovat

Jak vidíte budoucnost Allotu? Díky našemu postavení na trhu DPI se jí vůbec nemusíme obávat. Naše produkty optimalizují služby pro širokou škálu uživatelů, a to od těch, kteří si chtějí chránit své kritické aplikace až po poskytovatele služeb, snažící se o dohled aplikací. Máme dostatečně diverzifikovanou zákaznickou základnu i dostatečný počet distributorů, abychom byli schopni i nadále rozšiřovali své postavení na trhu. OTÁZKY KLADLA SVĚTLANA PROKSOVÁ

6/2007 Information Assurance

Traffic management VI Řešení V minulém díle seriálu článků jsme popsali požadavky na výběr vhodného řešení pro traffic management. V tomto díle vás seznámíme s vhodným řešením. Špičkové řešení na trhu traffic managementu poskytuje společnost Allot Communications (www.allot.com). Díky tomu, že se zaměřuje výhradně na tento segment trhu, dokáže nabídnout: komfortní a intuitivní grafické rozhraní, účinné DPI (Deep Packet Inspection) a podporu stovek aplikací, možnost integrace pomocí XML, SOAP, skriptů i API, volitelnou integraci s DHCP, RADIUS i OSS systémy, výkon od 2 Mb/s do 20 Gb/s na aplikační vrstvě ( L7), třívrstvou architekturu (sonda – management server – klient), škálovatelnost řešení od jednoho boxu po stovky boxů v jedné síti, řešení pro podniky i pro ty největší operátory. Základní strategie Allot Communications je velice jednoduchá – spolehlivý a výkonný hardware, účinné DPI řešení a intuitivní grafické rozhraní. Pro zajímavost – jen protokolový tým představuje deset programátorů. Díky tomu je možné rozlišit i aplikace jako je šifrovaný BitTorrent, eDonkey, Skype apod.

Jak je vidět, lze si vybrat řešení pro malou firmu i pro páteřní síť operátora.

CPE

Network Edge

20 G

Zajímavé je podívat se na vývoj produktů, viz obrázek 1. Je z něj zřejmé, že už téměř před pěti lety bylo k dispozici řešení pro 1 Gb/s, nyní pro 20 Gb/s a příští rok to bude ještě několikrát více. Nová produktová linie Service Gateway A14 Omega, viz obrázek 2, je založena na modulární a především standardní ATCA (Advanced Telecom Computer Architecture) architektuře a díky tomu je možná integrace s řešeními jiných výrobců. Rozšíření služeb o antivir, URL filtering apod. pak bude pro operátora velice jednoduché, stačí do chassis přidat další desku s příslušným software. NetEnfrocer podporuje různé scénáře vysoké dostupnosti a součástí dodávky je vždy i bypass jednotka. NetXplorer pak představuje centrální management, monitoring a reporting server, viz obrázek 3, který dokáže jednotlivé NetEnforcery nejen řídit, ale sbírat z nich a z Collectorů potřebná data. Volitelnou komponentu pak tvoří SMP (Subscriber Management Platform) modul. SMP je určen především pro operátory a umož-

AC-25x0

5G

SG-20 A14 Omega

2G

AC-10x0

AC-4xx 8xx

100 M

2002

2003

2004

2005

2006

2007

Obrázek 1: Vývoj řady NetEnforcer

ňuje jednouchou integraci s DHCP, RADIUS a OSS servery. Postačí přidat nového zákazníka do databáze, přiřadit mu službu, kterou si vybral a vše ostatní se provede automaticky. Zajímavost a úspěšnost řešení potvrzuje i řada referencí přímo v České republice a to jak u poskytovatelů internetu (Český bezdrát, ČRA, M-Soft, …) i v podnikové sféře (ČSA, OKD, IKEM atd.). PETR LASEK

Typ

Výkon

NetEnforcer AC402, 404

Monitoring only, 2, 10,45, 100 Mbps

NetEnforcer AC802, 804, 808

Monitoring only, 45, 100, 155, 3100 Mbps

NetEnforcer AC1010, 1020, 1040

155, 310, 622 Mbps a 1 Gbps

NetEnforcer AC2520, 2540

310 Mbps, 1, 2, 2.5 Gbps

Service Gateway A14 Omega

až 20 Gbps

Řešení je tvořeno třemi komponentami. Samotný hardware představuje řada NetEnforcer, viz tabulka 1.

Tabulka 1: Parametry zařízení NetEnforcer

Obrázek 2: SG-20 A14 Omega

Obrázek 3: Centrální dohled pomocí NetXploreru nad dvěma zařízeními typu NetEnfrocer

3

4

Information Assurance 6/2007

Microsoft IIS 7 – nová verze WWW serveru Windows Server 2008 a Windows Vista obsahují novou verzi WWW serveru, jehož plný název je Internet Information Services 7 (IIS 7). IIS 7 přichází s řadou nových bezpečnostních vylepšení, čímž reaguje na okolnost, že jeho starší verze byly v minulosti častým terčem úspěšných útoků. Firma Microsoft se tuto situaci samozřejmě pokoušela řešit a pro verze IIS 4 (ve Windows NT 4.0 Option Pack), IIS 5 (ve Windows 2000) a IIS 5.1 (ve Windows XP) dala k dispozici speciální nástroj IISLockdown. Jednalo se o poměrně jednoduchý program, který umožňoval bezpečnou instalaci a konfiguraci IIS podle uživatelem vybrané role. Ve verzi IIS 6 (Windows XP x64 Edition a Windows 2003 Server) již byly obdobné funkce standardní součástí instalace a IISLockdown se stal zbytečným. Architektura IIS 6 i jeho výchozí nastavení jednoznačně preferovaly bezpečnost, a proto se výrazně snížilo množství bezpečnostních incidentů s ním spojených.

Modularita IIS 7 Přestože verze IIS 6 byla alespoň co do bezpečnosti úspěšná, byl její kód pro verzi IIS 7 zcela přepracován. Jedním z přetrvávajících problémů totiž byla takzvaná monolitická instalace WWW serveru, kdy se u verze 6

muselo nainstalovat vše, co server tvořilo. Ty součásti, které neodpovídaly vybrané roli, se vhodnou konfigurací pouze deaktivovaly, avšak byly v systému stále přítomné a zbytečně tvořily potenciální cíl útoku.

vzdálená správa využívá protokol HTTPS na standardním portu 443, který již bývá na firewallu otevřen, takže není třeba se žádným dalším portem kvůli vzdálené správě zabývat.

V IIS 7 je naproti tomu využit modulární návrh, který zmenšuje prostor pro útok na minimum. Kompletní WWW server je tvořen asi čtyřiceti moduly, plnícími různé funkce jako je zpracování HTTP požadavků, autentizace, tvorba aplikací, podpora skriptů, diagnostika apod. Které z modulů se skutečně nainstalují, závisí na volbě role, kterou má server plnit. Podstatné je, že soubory, obsahující nepotřebné moduly, nejsou na disku vůbec přítomny.

Filtrování požadavků

Delegování administrátorských práv V IIS 6 mohl změny konfigurace provádět jen uživatel s právy administrátora (na úrovni operačního systému), takže se dost dobře nedaly oddělit role správce operačního systému a správce WWW serveru. Naproti tomu IIS 7 obsahuje nový program pro správu (viz obrázek 1), jehož rozhraní povoluje určité úlohy delegovat i na jiné uživatele, než jsou systémoví administrátoři. Je tak možné definovat pouze administrátory webového serveru nebo webové aplikace a těm pak poskytnout možnost vzdálené správy bez obav o to, že mohou v systému natropit nějakou neplechu. Mimochodem,

Velmi časté útoky proti WWW serveru spočívají v zasílání požadavků obsahujících velmi dlouhou URL adresu, adresu obsahující neobvyklé znaky nebo speciálně formátovanou adresu. Aby se toto nebezpečí eliminovalo, bylo u starších verzí IIS možné kontrolovat URL adresy požadavku, a to speciálním nástrojem URLScan. Ten adresu nesplňující některou z definovaných podmínek odmítl a zabránil tak jejímu dalšímu zpracování. V IIS 7 plní obdobnou funkci modul Request Filtering, jehož možnosti byly jen o trochu rozšířeny.

Vylepšená diagnostika Zejména vývojáři webových aplikací ocení dva nové mechanismy poskytující podrobné informace o chybách a problémech, využitelné nejen k monitorování serveru ale i k ladění aplikací. Prvním z těchto mechanismů je rozhraní RSCA (Runtime Status & Control API), pomocí něhož lze monitorovat zpracovávané požadavky, a to v reálném čase. S tímto rozhraním je také možné získat řadu podrobných informací o aktuálním stavu WWW serveru nebo webové aplikace. Druhým mechanismem je automatický záznam neúspěšných požadavků (Automatic Failed Request Trace Logging), jenž administrátorovi umožňuje definovat typy problémů, které chce sledovat. Může jít například o dlouhou dobu obsluhy požadavku nebo o ohlášení chyby WWW serveru. Pokud je takový problém detekován, zaznamená se do souboru podrobná informace o požadavku, který ho způsobil. MILAN JIRSA

Zdroje: [1] Microsoft Internet Information Services Home, http://www.iis.net [2] Virtuální laboratoř na vyzkoušení práce s IIS7, http://virtuallabs.iis.net/ [3] Explore The Web Server For Windows Vista And Beyond, http://msdn.microsoft.com/msdnmag/ issues/07/03/IIS7/default.aspx [4] Internet Information Services, http://en.wikipedia.org/wiki/Internet_ Information_Services Obrázek 1: Vzhled přepracovaného správce IIS

6/2007 Information Assurance

Monitorování bezpečnosti sítě Představme si, že jsme do sítě zavedli různé bezpečnostní technologie poskytující vícevrstvou ochranu před širokým spektrem útoků. Poskytovatel nás chrání před útoky DDoS. Firewally v několika liniích brání nedovolenému průniku do sítě. VPN technologie zabezpečuje přenášená data. IPS systémy sledují útoky probíhající přes síť. NAC ověřuje identitu uživatelů a aktualizuje programové vybavení zranitelných stanic. Antiviry, personální firewally a host-based IPS systémy zajišťují stanice před útoky, které by pronikly přes všechny vrstvy ochrany na úrovni sítě. Můžeme přes všechny technologie a zavedené postupy doufat, že naše síť je opravdu v bezpečí? Samozřejmě nemůžeme. Potřebujeme vědět, co se v síti děje. Chceme ale vědět o všech událostech? Je to realistické?

10.51.11.3

10.51.12.3

10.51.13.1 10.1.70.80 53

E-1214

1 pnmars 171.71.180.232

E-1404

FWSM-amslab.

Obrázek 1: Průběh útoků v síti (zařízení MARS zachytilo útok z PC s IP adresou 171.71.180.232)

Firewall v průměrně zatížené, středně velké síti registruje desítky i stovky událostí za sekundu. Podobný počet nahlásí i typický IPS systém. Obrovské množství informací je uloženo v záznamech operačních systémů a aplikací. Nezanedbatelný objem informací poskytuje i síťová infrastruktura. Denně tak získáváme milióny nových záznamů. Není v lidských silách tyto informace přečíst, dát je do souvislostí a posoudit jejich závažnost, to může udělat jen výkonný a inteligentní nástroj.

CS MARS Podívejme se krátce na Cisco Secure Monitoring, Analysis and Response System, označovaný zkráceně CS MARS. MARS sbírá a zaznamenává informace ze síťových prvků, z bezpečnostních zařízení, koncových stanic, dává je do souvislostí, potlačuje nevýznamné události a upozorňuje na důležité a nebezpečné bezpečnostní incidenty v síti. Dokáže také navrhnout optimální způsob zastavení útoků.

Je výkonný a rozšiřitelný Ve středně velké síti (jednotky kusů bezpečnostních zařízení, několik desítek síťových zařízení, několik set koncových stanic) musíme počítat se stovkami až tisíci událostmi za sekundu. Ve větších sítích jsou to již tisíce, desetitisíce i více událostí. Nejvýkonnější sonda MARS je schopna vyhodnocovat a ukládat do databáze až deset tisíc událostí za sekundu. Nestačí-li to, lze použít více sond; pak jejich soustavu zastřeší centrální konzola (global controller). Ta je místem, ve kterém se zobrazují všechny incidenty, souhrnné grafy a výkazy a odtud se spravují jednotlivé sondy.

Rozumí heterogennímu prostředí MARS rozumí informacím pocházejícím z bezpečnostních zařízení, síťových prvků, operačních systémů a aplikací od různých dodavatelů. S těmito zařízeními komunikuje standardními či firemními protokoly. Podporuje desítky zařízení, další může pružně přidávat správce systému.

Dává události do souvislosti, upozorňuje na vážné incidenty Samotná událost často neukazuje na významný bezpečnostní problém jednoznačně. Když se však v síti vyskytne určitá posloupnost událostí, kterou zaznamenají různá zařízení, může jít o vážný problém. Pokud dokáže monitorovací systém ověřit dopad incidentu jednou či více nezávislými cestami, dostáváme věrohodnou informaci, která stojí za podrobnější analýzu. Obrázek 2: Zastavení útoku. MARS navrhuje několik variant blokování útoku firewallem v přepínači Catalyst 6500.

MARS sbírá informace z různých zdrojů a ukládá je v komprimované podobě do

databáze. Události vyhodnocuje sadou korelačních pravidel. Tato sada vytváří z množiny izolovaných událostí incidenty, který se zobrazuje v centrální konzole. Základ systému tvoří zhruba stovka dodaných korelačních pravidel. Správce ovšem může sestavovat vlastní pravidla, která odrážejí specifické vlastnosti sítě nebo potlačují falešné poplachy. Dobře vyladěný systém v běžném prostředí zobrazí z miliónů zaznamenaných událostí několik málo desítek významných incidentů. Každý z nich pak lze podrobně prozkoumat. Věrohodnost incidentů posuzuje MARS z mnoha hledisek. Může například použít vlastní nebo externí skener zranitelností, vyhodnocovat informace z NetFlow protokolu apod.

Rozumí topologii sítě, blokuje útoky MARS prozkoumá topologii, vytvoří přesnou mapu sítě a zakreslí do ní průběh útoků, do obrázku 1 jsem překreslil obsah obrazovky. Správce vidí v mapě stanice, ze kterých útok vychází, trasu v síti i cíle útoku. MARS využívá znalost topologie sítě k navržení způsobu, jakým útok zastavit. Například může zablokovat port přepínače, ke kterému je zdrojová stanice připojena. Útok může také zastavit automatickým vytvořením paketových filtrů na směrovači, pravidlem na firewallu nebo i dalšími způsoby, viz obrázek 2. Více informací o CS MARS najdete na http://www.cisco.com/go/mars IVO NĚMEČEK

5

6

Information Assurance 6/2007

GiTy řeší bezpečnostní požadavky ČEZ Přes všechny snahy pracovníků v informatice zůstává většina incidentů vzniklých v informačním systému neidentifikována. Důvodem je rozsáhlost log souborů generovaných z různých zdrojů – firewallů, proxy serverů, antivirových prostředků, síťových IDS, syslog serverů, aplikačních serverů, … Ve velkých společnostech je přicházející objem záznamů tak obrovský, že administrátoři nemají šanci logy ani pročíst, natož důsledně analyzovat. Toho všeho si byl útvar bezpečnosti IS ve skupině ČEZ, jehož úkolem bylo vytvořit komplexní systém bezpečnostních opatření na úrovni, odpovídající povaze a důležitosti zpracovávaných údajů v informačním systému skupiny ČEZ, vědom. Na základě takto definovaného cíle hledal útvar bezpečnosti IS řešení, které by bylo schopno převzít od administrátorů bezpečnostní infrastruktury tuto velmi náročnou práci. Společnost ČEZ v oblasti bezpečnosti ICT vyzvala různé dodavatele bezpečnostních produktů k diskusi o možném řešení požadavků na bezpečnost IS v ČEZ. Nicméně až společnost GiTy nabídla ideu implementace komplexního řešení – kanadské společnosti Intellitactics (kterou GiTy zastupuje v ČR) splňujícího převážnou část požadovaných kritérií bezpečnostního dohledu. Software Network Security Management (dále již NSM) je schopno sbírat informace generované různými zařízeními a interpretovat je bezpečnostnímu správci. Následně pak dokáže identifikovat a vytvářet vazby mezi událostmi v jednotlivých výpočetních zařízeních včetně časových korelací v reálném čase tak, aby byla stále zajištěna průkaznost údajů a možnost auditu. Spolupráce se společností GiTy byla pro ČEZ velmi přínosná z několika pohledů. ČEZ jako

Obrázek 2: Ukázka jednoho z pracovišť bezpečnostního dohledu

z šesti pracovišť bezpečnostního dohledu ukazuje obrázek 2 (vizualizace aktuální bezpečnostní situace je na monitoru vlevo).

zákazník přesně a podrobně definoval své potřeby na bezpečnostní dohled. Společnost GiTy přinesla know-how implementace řešení do rozsáhlé infrastruktury informačního systému skupiny ČEZ. Již od počátečních diskusí bylo zřejmé, že implementace tak rozsáhlého řešení musí probíhat po etapách a postupných krocích. První etapa definovala filozofii architektury celého řešení při zajištění dostatečného výkonu pro zpracování přijímaných dat s kontinuální možností průběžně systém doplňovat o další výkon. Druhá etapa zajišťovala napojení všech vybraných dohlížených systémů, úpravu vizualizací a škálování výkonu podle rozsahu připojovaných částí IS. Třetí etapa implementovala úpravu lexikálních analyzátorů logů pro specifické bezpečnostní funkce a úpravu korelačních funkcí dle požadavků ČEZ.

Protože bezpečnost je kontinuální proces, spolupráce ČEZ se společností GiTy stále pokračuje, neboť jak přibývají nové typy útoků, tak se mění i typy software. Vlastní cíl bezpečnostního dohledu IS – sjednotit výstupní informační zdroje z jednotlivých provozních a bezpečnostních částí IS skupiny ČEZ do jednotné databáze (konsolidace), sdružit informace do sady bezpečnostních tříd a kategorií (agregace) a tak vytvořit jedno informační aktivum – se podařilo naplnit. Informace rozčleněné do příslušných bezpečnostních kategorií umožňují vstupovat do rozhodovacích procesů na jednotlivých pracovních úrovních napříč provozovanými aplikacemi, systémy a službami bez ohledu na jejich geografické rozmístění v ČR.

Bezpečnostní dohled je tvořen výhradně grafickými pravidly. Není třeba nic složitě programovat (viz obrázek 1), vše je jednoduše auditovatelné. Výslednou podobu jednoho

Zbyněk Surovec – GiTy, a. s. Lukáš Přibyl – Bezpečnost ICT, ČEZ, a. s. Karel Šimeček – Bezpečnost ICT, ČEZData, s. r. o.

Forward or analyze summary data

Input audit processing (packaging and propagating to CSDW) Chain to Input Audit system / main / input / root-node GNU Inbox Monitor

Chain to main rule for aggregated system / main / aggregate / pre-norm-root-node

contex=parsed_file Summary Data

priority >= 60

contex = parsed_g_stat

Change Context

Parse OS Log File

Obrázek 1: Ukázka grafických pravidel bezpečnostního dohledu

parsed_g_stat / system / main / update / system /main /update /root-node

6/2007 Information Assurance

Systémy Single Sign-On Počet aplikací v organizacích neustále vzrůstá (podle údajů IDC je v podnicích s méně než 2000 zaměstnanci více než deset aplikací). Jedná se například o intranet organizace, výkazové systémy, ERP systémy a další. Uživatelé se potýkají s nutností změn hesel, zapomínají je nebo si je zapisují na různá místa. Vznikají tak bezpečnostní incidenty. Jedním z řešení, které tyto problémy eliminuje a zjednodušuje život uživatelům i administrátorům, je systém jednotného přihlašování (SSO, Single Sign-On). Aplikace si nemusejí udržovat vlastní databáze uživatelů, ale využívají centrálního úložiště jednotně pro všechny aplikace. Uživatel má jedno jméno a heslo pro všechny aplikace. Autentizace a přidělení přístupových práv je prováděna centrálně s využitím autentizačního serveru (viz obrázek 1), centrálně lze rovněž provádět audit. Existují různá, značně vyzrálá řešení SSO, vhodná k nasazení ve všech prostředích včetně těch nejnáročnějších. Můžeme si uvést dvě kategorie SSO produktů – Enterprise SSO a webové SSO (takzvané WAM).

Enterprise SSO Ve velkých společnostech je SSO zpravidla součástí správy uživatelů. Systémy SSO jsou často založeny na řešení Kerberos, což je tzv. proxy SSO (poskytovatelem autentizační služby je vzdálený počítač), které zajišťuje autentizaci pracovních stanic uživatelů vůči serverům. V tomto systému je heslo uživatele použito pouze při prvním přihlášení k autentizačnímu serveru (například jednou za směnu, viz obrázek 2) a pak už je pro každou službu používán přidělený klíč s omezenou dobou platnosti (např. s dobou platnosti do konce

AS: Autentizační server

Uživatel se autentizuje (např. jednou za „směnu“) u AS a získá do AS doklad jeho autentizace pro TGS

Autentizační server

Autentizace

Aplikace Uživatel

Počítač uživatele

směny), jehož případné prolomení nemá dlouhodobější následky. Různé systémy SSO mohou také podporovat dvou či třífaktorovou autentizaci jako je například kombinace hesla s tokenem či dokonce s biometrickými autentizačními nástroji. Některá další řešení umožňující automatizovanou autentizaci vedou přes využití PKI, což ale na aplikace klade poměrně vysoké nároky.

Webové SSO Představitelem SSO formou webového správce přístupu (WAM – Web-based Access Manager) jsou řešení typu GetAccess od firmy Entrust, Sun ONE Identity Server od firmy Sun Microsystems, Tivoli Access Manager od firmy IBM, ClearTrust firmy RSA a řada dalších. Hlavními rysy těchto systémů je autentizace uživatele, povolení relace s více různorodými aplikacemi, řízení přístupů na základě rolí, aplikace SAML (Security Assertion Markup Language) pro syntaxi zpráv. Typický algoritmus tohoto řešení je následující: 1. uživatel přistupuje k URL (zdroji) chráněnému WAM;

TGS: Ticket-Granting server

Aplikační server Uživatel opakovaně využívá službu, na TGS se opakovaně neobrací

Obrázek 2: Schéma systému Kerberos

Čerpání služby

Obrázek 1: Schéma systému SSO

Uživatel získává od TGS pro každou službu doklady autentizace, u AS se opakovaně neautentizuje

Uživatel, klient

Záruka identity

2. je přijat požadavek uživatele na zdroj a uživatel je přesměrován na centrální autentizační webový formulář; 3. uživatel předá své oprávnění a WAM provede autentizaci proti centrální databázi uživatelů (často LDAP adresář); 4. WAM nastaví v uživatelově prohlížeči přístupový příznak (cookie) ke zdrojům chráněným pomocí WAM (jedná se o šifrované nepersistentní cookie s ID uživatele v databázi uživatelů, nejedná se o heslo); 5. WAM podle předdefinované politiky posoudí přístupová práva uživatele a má-li uživatel oprávnění, povolí mu přístup ke zdroji. Pokud WAM zjistí při dalším požadavku na přístup k tomuto zdroji, že v prohlížeči existuje platný neexpirovaný příznak v prohlížeči, vynechají se předcházející kroky.

Jak si vybrat? Jak již bylo uvedeno, na trhu je k dispozici celá řada produktů pro SSO, a to jak od menších softwarových společností, tak od společností renomovaných. Problém tedy může představovat, jak si z této široké nabídky vybrat tak, aby systém a jeho funkce byly pro společnost optimálním řešením. Při rozhodování o tom, jaký systém SSO zvolit, je vhodné položit si několik základních otázek, jako například: Které aplikace budou zahrnuty do SSO? Jsou některé z nich typu klient-server? Podporují zvolené aplikace nějakou jinou autentizaci než zadáním jména a hesla? Na základě vyhodnocení odpovědí lze získat rámec pro výběr správného systému SSO. Tento přístup volí i společnost ICZ a. s., která je schopna na základě podobných informací doporučit nejvhodnější řešení pro implementaci systému SSO a navrhnout takový postup, který zajistí úspěšné nasazení a následné správné fungování celého systému. LADISLAV BERÁNEK

7

a mind for net works

Turn your Network into an Intelligent Network with Broadband Traffic Management Transform broadband pipes into smart networks by using deep packet inspection and dynamic traffic control. Allot helps you manage applications and services, guarantee a quality customer experience, and contain costs.

www.allot.com

• Gain total traffic visibility • Get dynamic control of subscriber services • Provide more broadband services • Maximize revenue

[email protected]

Americas: 7664 Golden Triangle Drive, Eden Prairie, MN 55344 USA · Tel: (952) 944-3100 · Toll free: (877) 255-6826 · Fax: (952) 944-3555 Europe: NCI – Les Centres d'Affaires Village d'Entreprises ‘Green Side’, 400 Avenue Roumanille, BP309, 06906 Sophia Antipolis Cedex, France · Tel: 33 (0) 4-93-001167 · Fax: 33 (0) 4-93-001165 Asia Pacific: 6, Ubi Road 1, Wintech Centre 6-12, Singapore 408726 · Tel: 65 6841-3020 Fax: 65 6747-9173 Japan: Puri-zaido Ochanomizu 301, 4-2-3 Kanda Surugadai, Chiyoda-ku, Tokyo 101-0062 · Tel: 81 (3) 5297 7668 · Fax: 81(3) 5297 7669 · www.allot.jp Israel: 22 Hanagar Street, Industrial Zone B, Hod-Hasharon, 45240, Israel · Tel: 972 (9) 761-9200 · Fax: 972 (9) 744-3626