Information Assurance 2/2007
vychází 15. 4. 2007
Bezplatný měsíčník vydávaný CNSE spol. s r. o. ve spolupráci s pořadateli a partnery konference Security and Protection of Information (www.unob.cz/spi)
Proč je téma bezpečnosti IT tak atraktivní? Rozhovor s generálním ředitelem Cisco Systems Česká republika, s.r.o., Miloslavem Rutem
Obsah Rozhovor s generálním ředitelem společnosti Cisco Česká republika _ 1-2 Úvodem _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 2 Není IPSec jako IPSec _ _ _ _ _ _ _ _ _ _ 3
Mezi příspěvky na konferenci Security and Protection of Information, která proběhne v rámci doplňkového programu výstavy IDET ve dnech 2.-4. května na brněnském výstavišti, má silné zastoupení problematika bezpečnosti počítačových sítí. Bezpečnosti hraje v oblasti počítačových sítí stále významnější roli. Co na to říká generální ředitel Cisco Systems Česká republika, s.r.o., Miloslav Rut?
VoIP – nebezpečná telefonie? _ _ _ _ _ 4 Traffic management II _ _ _ _ _ _ _ _ _ _ 5 Rodina bezpečnostních produktů Microsoft Forefront Security _ _ _ _ _ _ 6 Řídíte bezpečnost informací? _ _ _ _ _ 7
Bezpečnosti IT se věnuje stále více pozornosti. Proč myslíte, že je toto téma tak atraktivní? Těch důvodů je hned několik. Většina moderních organizací a podniků má svoji
hlavní činnost s informačními technologiemi natolik svázanou, že si bez fungování IT nedokážou svou činnost ani představit. Proto se věnuje tolik pozornosti nepřetržité dostupnosti podnikových aplikací a zabezpečení je jeden z faktorů, který pomáhá udržet informační systém v běhu. Dalším motorem rozvoje je vzrůstající otevřenost komunikačních sítí. Některé nové technologie, zmíním například vzdálený přístup uživatelů z libovolného místa na světě, nebo bezdrátové technologie, umožnily zcela nové modely fungování organizací a nasazení zcela nových typů aplikací. Daní za tuto otevřenost je logicky větší zranitelnost.
2
Information Assurance 2/2007
Úvodem Toto dubnové číslo zpravodaje je věnováno především společnosti Cisco. Proč? Společnost Cisco Systems (jméno vzniklo zkrácením původního San Francisco Systems) byla založena v prosinci 1984 dvěmi zaměstnanci Stanfordovy univerzity. Cílem bylo komerční využití tehdy nově vyvinutých zařízení – směrovačů. Cisco se postupně vyvinulo v telekomunikačního giganta, dominuje i v takových oblastech, jako jsou síťová bezpečnost, WiFi sítě a IP telefonie. Jak k tomu došlo a co lze v budoucnu od Cisca očekávat? Cisco vždy vynikalo tím, že získávalo malé společnosti, které právě úspěšně ukončily vývoj nějaké nové, slibné technologie, a jejich produkty bezproblémově integrovalo do svého portfolia. Společnost však dosáhla takové velikosti, že musela změnit akviziční strategii. Svědčí o tom koupě Scientific Atlanty v roce 2005 (kabelový hardware) nebo Webexu (videokonferenční systémy) minulý měsíc. Které akvizice budou následovat? V oblasti internetového videa, síťových paměťových zařízení, zařízení pro VoIP či zvýšení výkonu sítě? Těžko říci, ale určitě to bude stát za to. Cisco nezapře, že vznikalo na univerzitní půdě. Vzdělávací projekt Cisco akademie je něco, s čím se vzdělávací projekty ostatních IT společností nedají srovnat. Ve dnech 13.-14. dubna proběhla v Praze společná konference Cisco akademií v ČR a SR, 8. –9. října se bude konat výroční konference v Istanbulu. Na přelomu ledna a února se zase evropští zákazníci sešli na konferenci Networkers 2007 v Cannes, nejdůležitější události organizované firmou Cisco Systems pro odbornou veřejnost. Na ní bylo možno vyslechnout přednášky jak vrcholových managerů, tak i vývojových pracovníků Cisco a poodhalit tak záměry firmy pro následující období. Avšak zpět domů – již 25.–26. dubna 2007 proběhne v Kongresovém centru Praha česká konference – Cisco Expo. SVĚTLANA PROKSOVÁ, REDAKTORKA ČASOPISU
Information Assurance Bezplatný zpravodaj vydávaný na podporu konference Security and Protection of Information www.unob.cz/spi
Vydavatel: CNSE spol. s r. o. Zodpovědná redaktorka: Světlana Proksová Redakční rada: Martina Černá, Jaroslav Dočkal, Ivo Němeček, Petr Lasek, Jiří Unzeitig, Milan Jirsa, Josef Kaderka Grafická úprava: Omega Design, s. r. o. Registrace MK ČR E 17346 ISSN 1802-4998
Proč je téma bezpečnosti... (Dokončení z první strany.) Někteří lidé soudí, že dodavatelé bezpečnostních technologií pravděpodobnost ohrožení záměrně zveličují. Někdy se to tak může skutečně jevit. Investice do zabezpečení informačních systémů mají jednu nevýhodu, nezajišťují přímo žádnou viditelnou funkci chodu organizace. Proto se v klidném období může uživatelům a vedení společnosti zdát, že investice do této oblasti nejsou důležité a IT oddělení mohou mít potíže s obhájením rozpočtu. Podobné je to například i se záložními datovými centry. Riziko ohrožení je ale skutečně reálné a mnoho našich zákazníků má s napadením svých informačních systémů nepříjemné zkušenosti. Tyto zkušenosti potom vnímání nutnosti investice do zabezpečení ICT razantně mění. Analýzy nezávislých odborníků navíc ukazují, že riziko ohrožení nadále vzrůstá. Například před deseti lety se útok na počítačové sítě počítal v řádu desítek hodin, dnes se útok stejné velikosti projeví v řádu několika sekund. Jak je Cisco spokojeno s pozicí na trhu bezpečnosti IT? Současný stav na trhu bezpečnostních technologií potvrzuje náš předpoklad, že zákazníci hledají silné dodavatele, schopné řešit jejich problémy komplexně. Jistě jste si proto všimli, že kromě vlastního vývoje provádíme v oblasti bezpečnostních produktů a řešení řadu akvizic. Rok 2006 byl bezesporu velmi úspěšný. Spolu s našimi partnery jsme dokončili mnoho zajímavých bezpečnostních projektů, které zákazníci hodnotí jako velmi kvalitní. Náš podíl na bezpečnostním trhu podle agentury Infonetics v současné době představuje přibližně 38 % a nadále roste. Co je možná ještě důležitější, daří se nám kontinuálně zlepšovat funkčnost bezpečnostních produktů a rozšiřovat záběr ochranných procesů a mechanizmů, což oceňují jak naši zákazníci, tak i nezávislí odborníci. Vidíte v bezpečnostních technologiích nějaké zásadní trendy? Je zřejmé, že IT bezpečnost se stává integrovanou součástí komunikační infrastruktury. Zákazníci zjistili, že není vhodné budovat infrastrukturu a zabezpečení odděleně, ale daleko účelnější je projektovat přímo zabezpečenou komunikaci, zabezpečené datové centrum nebo bezpečnou IP telefonii či bezdrátovou síť. Cisco má velkou výhodu v tom, že dokáže bezpečnostní funkce pevně svázat s infrastrukturou, což izolovaná řešení mohou nabídnout jen velmi omezeně. Navíc díky této integraci dokážeme nabídnout ucelená řešení nových služeb a velmi zjednodušit správu takovýchto řešení. Jako konkrétní příklad uvedu služby připojení pro dočasné uživatele, pro které
dokážeme nabídnout nejen infrastrukturu, ale i kompletní a bezpečné řešení včetně portálu pro komfortní zadávání dočasných uživatelů. Tento způsob, kdy se různé typy produktů podílejí na zabezpečení sítě, nazýváme „spolupracující bezpečnost“. Naše integrované řešení zajišťuje, aby si produkty v různých částech sítě vyměňovaly informace o potenciálních hrozbách či útočnících a tyto informace používaly pro rychlejší a kvalitnější samoiniciující a adaptivní obranu. Je to jen další potvrzení správnosti konceptu integrace bezpečnostních funkcí do infrastruktury – tento koncept nazýváme Self Defending Network.
Ing. Miloslav Rut Absolvent FEL ČVUT v Praze, pak ředitel firmy Millipore a obchodní a marketingový ředitel českého zastoupení společnosti Dell Computer. Od roku 1997 generální ředitel společnosti Cisco Česká republika s.r.o.“
Na začátku roku 2007 proběhla informace o akvizici bezpečnostní firmy IronPort. Můžete nám přiblížit význam tohoto spojení? Cisco touto akvizicí vstupuje do pro něj nové bezpečnostní oblasti, a to do ochrany proti spamu, spyware, virům a dalším hrozbám. Stává se špičkovým hráčem i na poli ochrany elektronické pošty či internetových stránek a portálů. Technologie Ironport jsou podle nezávislých odborníků ve své kategorii nejlepší na trhu. My se proto těšíme, že brzy nabídneme našim zákazníků kromě samostatných řešení i integrovaná řešení. Ta nám pomohou se vypořádat s problémy a hrozbami spojenými s nevyžádanou poštou a útoky na webové služby. Podle prvních reakcí zákazníků bude mít investice do akvizice IronPort velmi rychlou návratnost. S MILOSLAVEM RUTEM HOVOŘIL JAROSLAV DOČKAL
2/2007 Information Assurance
Není IPSec jako IPSec Nadpis článku zní možná podivně. IPSec je přece definován sadou dokumentů RFC (Request for Comment) a je uznávaným a často využívaným standardem. Pro tvořivost je tu zdánlivě malý prostor. Ovšem jen zdánlivě.
Datový paket
Většina ze zmíněných omezení se dá obejít, mnohdy ale za cenu kompromisu nebo značného úsilí. Proto někteří dodavatelé síťových a bezpečnostních technologií nabízejí IPSec v různých variantách a kombinacích s jinými protokoly. Směrovače Cisco mohou pro ochranu přenášených dat využít standardní IPSec tunely, ale také GRE (Generic Routing Encapsulation) tunely chráněné IPSec protokolem. Přes takto vytvořenou privátní síť lze přenášet bezpečně multicasting, dynamické směrovací protokoly nebo jiný než IP protokol.
Pevný multipoint GRE tunel
NHRP Resolution
IPSec poskytuje nesporné výhody, ale přináší i určitá omezení. Protokol ověří účastníky komunikace a šifruje přenášená data. Zajistí velmi silnými prostředky původnost, neporušenost a privátnost komunikace na úrovni IP protokolu. Jaká ale IPSec vnáší omezení? Například nepodporuje multicast, o který se opírá řada aplikací. Ztěžuje rovněž využití směrovacích protokolů, které multicast používají (například OSPF). Tunelovací režim IPSec naruší v řadě případů optimální transport v síti. Ve větších sítích se zase poměrně obtížně vytváří full mesh (každý s každým) topologie, která může být pro řadu aplikací (například IP telefonii) výhodou. IPSec ztěžuje zavedení QoS, protože skrývá informaci na transportní vrstvě. Zvětšuje rovněž velikost paketů (podle způsobu použití až o téměř 100 bytů). To je nežádoucí zvláště u malých paketů při přenosu zvuku.
Hub
NHRP Redirect
Spoke A
Spoke B Dynamicky sestavený tunel
Obrázek 1: Základní princip DMVPN
Key Server
PC
3 1 Group Member PC 2 Group Member Routing Member
Group Member
PC
Obrázek 2: Komunikace v GET VPN
Tím se snižuje počet navázaných IPSec spojení a pobočky tak mohou být vybaveny levnějšími zařízeními s menší kapacitou tunelů. Základní princip DMVPN ukazuje obrázek 1.
Pro připojování jednotlivých uživatelů nebo malých sítí lze použít tzv. Easy VPN technologii, kdy pravidla komunikace určuje centrální koncentrátor.Velmi pružnou metodou je Dynamic Multipoint VPN a zcela nové pojetí nabízí GetVPN. Právě na poslední dvě zmíněné technologie se podíváme.
Metoda DMVPN je velmi vhodná pro větší sítě, ve kterých je potřebné ustavit tunely nejen mezi pobočkou a centrálou, ale také přímo mezi pobočkami. Pobočky mohou mít přiděleny IP adresy dynamicky. Přes DMVPN lze rozběhnout dynamický směrovací protokol a multicasting. Základní topologií DMVPN může být nejen hvězda, ale dá se vytvořit i víceúrovňová hierarchie. Redundantní centrální prvky jsou samozřejmostí, pomocí DMVPN lze stavět velmi odolné sítě.
Dynamic Multipoint VPN (DMVPN)
Group Encrypted Transport VPN (GET VPN)
DMVPN (v základní podobě) vytvoří pevnou topologii ve tvaru hvězdy pomocí multipoint GRE tunelu. Next Hop Resolution Protocol (NHRP) potom pomáhá vytvořit dynamické tunely mezi pobočkami. Tyto tunely jsou navázány dočasně jen po dobu komunikace a po definované době nečinnosti se uzavřou.
Technologie GET VPN je dalším zajímavým přístupem. Skupina směrovačů si nejprve vymění informace, které vedou k získání společného klíče pro ochranu dat. K tomu se využívá standardizovaný Group Domain of Interpretation (GDOI) protokol (RFC 3547). Rozdělení klíčů členům skupiny (Group
Members) zajistí specializovaný Key Server, viz obrázek 2. Členové skupiny se registrují ke Key serveru. Key server je ověří a přidělí jim společné klíče pro ochranu komunikace (1). Data (unicast i multicast) jsou pak přenášena ve skupině směrovačů přes jediné IPSec Security Association (2). Druhé zabezpečené spojení používá Key server k obnově klíčů (3). Při přenosu dat se zachovává původní záhlaví paketů; klasické tunely přes transportní síť se tedy nevytváří. Tato síť určuje optimální trasu mezi připojenými subjekty. To je velmi výhodné zvláště v případě MPLS sítě, kdy mohou data putovat přímo mezi připojenými sítěmi na pobočkách bez nutnosti cestovat přes centrální hub. GET VPN sítě jsou jednoduché, mají vysoký výkon, nízkou latenci a jsou velmi odolné a dobře rozšiřitelné na tisíce připojených sítí. Více informací naleznete na http://www.cisco.com/go/vpn. IVO NĚMEČEK
3
4
Information Assurance 2/2007
VoIP – nebezpečná telefonie? Na bezpečnost VoIP lze nahlížet ze dvou stran. Jednak jde o odposlech hovorů a zjišťování informací o volání, dále se jedná o slabiny, které případnému útočníkovi otevírají přístup do sítě uživatele jako takové. Kde hledat zdroj ohrožení Ačkoliv bývá VoIP všeobecně považováno z hlediska ochrany komunikace za málo odolnou technologii, neplatí to vždy. Například pro policii je přenos hlasu v počítačové síti obtížněji sledovatelný než v centralizované veřejné telefonní síti. V té není problém nasadit příslušné prostředky u dominantního operátora a u několika významných alternativních, s odposlechem nejsou technické problémy ani v prostředí mobilní sítě. VoIP se však liší. Rozdrobení trhu a možnost peer-to-peer komunikace oslabují až znemožňují možnosti centrálního monitoringu. Různá jsou i řešení bezpečnosti a slabiny, plynoucí z rozdílných potřeb (Fayn VoIP je dost odlišný od například pojetí firmy Cisco), z různých přístupů, finančních možností i z různých typů používaných koncových zařízení (telefonů, softphonů). Ohrožení ve smyslu odposlechu a potenciálního ovládnutí té které sítě přichází v síťovém prostředí jako vždy především od běžných uživatelů. Vnitřní nepřítel číhá za každým spuštěním WireSharku, za každým nainstalováním Skypu. Levný VoIP by neměl být důvodem pro to, aby padly pracně budované zábrany, ať už se týkají portů (potřebuje Váš IP telefon otevřený ftp port?), zranitelnosti firmware nebo nebezpečného chování uzavřeného protokolu (Skype).
derovi? Jak je on připojen k operátorovi, který mu zajišťuje hlasové služby? Přes NIX jako nějaký lokální ISP? A co porty, které jste museli otevřít? Třeba 5060 pro SIP? Co FTP? Nu a co samotné protokoly IP a UDP – používají nějaké šifrování? Kolik operátorů má reálně nasazený VoIP se šifrováním komunikace? Nabízí operátor resp. poskytovatel certifikované přístupy, https apod., jako samozřejmost, jen VIP klientům či za další sazbu? Jsou vzaty v úvahu díry v samotných protokolech a aplikacích, například v zastaralé verzi softphonu?
Zásadní problém Kde se dělají chyby IP telefon je počítač, dnes obvykle bývá kombinován s přepínačem. Levnější i mnohé dražší přepínače často používají nesprávné rozhlašování, takže lze provoz zachytit na libovolném „sousedním“ počítači. Je to dobrý způsob pro nahrání vlastních hovorů, ale již méně vhodný z hlediska ochrany citlivých informací. Je v tom přitom trocha pokrytectví – vždy přece lze přiložit ke sluchátku mikrofon např. svého MP3 přehrávače. Co dále může provádět IP telefon? Například si automaticky aktualizovat firmware. Stahuje si jej z chráněných vyhrazených serverů (třeba lokálních) – tak, aby šlo ověřit, zda se neblíží trojské koně? Máte v síti nakonfigurovány různé adresní rozsahy a oddělené VLAN pro telefony a počítače? Používáte VPN? Probíhá komunikace pouze po VLAN až k provi-
Všeobecně se předpokládá, že 99 % elektronických dopisů přichází a odchází nešifrovaně. Jistá část z nich prochází jen LAN a VPN a je tudíž částečně chráněna. Drtivá většina je ovšem hnána otevřenou džunglí Internetu – do nich každý, kdo je po cestě, může nahlédnout. Tento stav zůstane zachován, dokud budeme akceptovat paralelu, že e-mail se rovná korespondenční lístek. Lze tuto otevřenost a benevolentní přístup uživatelů očekávat i v telefonii? Obávám se, že jsme svědky přesně stejného scénáře. S druhou stranou chcete hovořit tak jako tak, stejně jí nakonec ten e-mail pošlete. To je zásadní riziko bezpečnosti VoIP, ta nemožnost vnutit mase uživatelů byť jen pár zásad opatrného chování. Lhostejnost uživatelů sítí VoIP otevírá dveře pro příchod virů, červů a nevyžádaných hovorů (VoIP spam).
Co dělat? U VoIP je zabezpečené volání otázkou vybavení a několika konfiguračních voleb, stačí si jen pořídit příslušné vybavení. Lze zajistit skutečně odolná řešení, byť platí, že slabin a rizik je zde celá řada. Při rozumné firemní politice pro provoz aplikací v síti a při zabezpečení monitoringu lze technologii VoIP v prostředí rozlehlých sítí zajistit před vnějším i vnitřním nepřítelem dosti důkladně. Chápeme-li bezpečnost VPN provozu a bezpečnost Internetu jako snahu zabránit náhodnému i cílenému útoku prostředky obyčejných paketových filtrů a antivirových programů či technicky vyspělých řešení IDS/IPS, pak nám vyplývá otázka: Co přinese VoIP pro bezpečnostní strategii, jaké budou další nutné kroky? Především je třeba zakázat či omezit Skype. Nepoužívat uzavřené protokoly, pokud přes VoIP se volá výhradně na běžná telefonní čísla. Dále je vhodné domluvit se s providerem na přímé komunikaci přes jeho síť a ne přes Internet. Ti, kteří se věnují ochraně vnitřního prostředí, by měli volit renomované výrobce a dávat přednost osvědčeným technologiím – např. Cisco. Ostatní pak lze nechat na expertech v dané oblasti, ať již se jedná o konzultace ke konkrétním problémům, o řešení jednotlivých úskalí při přenosu hlasu na firewallu či o další problémy. Řešení existují, jde jen o to nestrkat hlavu do písku s tím, že jde jen o telefonování. Přenosy VoIP mají svá vlastní úskalí a navíc dědí problémy běžné internetové komunikace. PETR ŠUMPICH
2/2007 Information Assurance
Traffic management II DPI – Deep Packet Inspection Jak jsme si řekli minule, pokud chceme něco kvalifikovaně řídit, musíme znát skutečný stav. V dnešních sítích to znamená schopnost rozlišovat provoz na aplikační vrstvě (L7). Proč? Stále více aplikací se totiž maskuje tak, aby nebyly v provozu rozpoznatelné. Z jakého důvodu? V posledních několika letech došlo v Internetu k významné změně. Objevily se P2P aplikace, které umožňují uživatelům sdílet prakticky cokoliv – hudbu, filmy. Když se v roce 1999 objevil Napster, hudební nakladatelství se snažila zamezit provozu všemi prostředky a po velké právní bitvě dosáhla soudního zákazu. Myšlenka se však ujala a dnes existují desítky P2P aplikací – Kazaa, BitTorrent, Direct Connect atd. Jedná se o decentralizované sítě, viz obrázek 1.
Centralizovaná (Napster)
První generace P2P programů používala takzvaný port hopping (přeskakování portů), kdy se TCP/UDP porty náhodně měnily. Druhá generace pak začala využívat HTTP protokol, viz obrázek 2 a následně i šifrování pomocí SSL. Zatím poslední P2P aplikace využívají vlastní šifrování (Emule). Přesněji řečeno používá se pojem „obfuscation“ (zmatení pojmů). Šifrování se zde nevyužívá pro zajištění soukromí, ale pouze za účelem znemožnění detekce. HTTP Pattern IP Header TCP Header (port 80) GET /song.mp3 HTTP/1.1 User-Agent: Kazaa
Decentralizovaná (Kademlia)
Kazaa Pattern
TCP Payload IP Payload Obrázek 2: P2P v HTTP protokolu
Hierarchická
Hybridní (eDonkey, Skype)
Obrázek 1: Architektura P2P sítí
Každý uživatel je klientem, který může stahovat obsah jiných uživatelů dané P2P sítě, a každý uživatel je zároveň serverem, který nabízí své soubory ke stažení jiným. Pro zajímavost, v současné době nejrozšířenější aplikací je BitTorrent se 135 milióny uživatelů a v průměru 60-80 % provozu v Internetu dnes generují sítě P2P. Klasické aplikace – web, elektronická pošta i VoIP – znamenají krátkodobou zátěž. Prohlédnete si webovou stránku, odešlete mail, po ukončení hovoru zavěsíte. Pokud se ale uživatel například EDonkey rozhodne stáhnout si deset nových filmů, přičemž každý film zabere několik GB, znamená to permanentní zatížení linky až na řadu dnů. Je logické, že se poskytovatelé internetu snaží takový provoz řídit. Programátoři P2P si toho jsou velice dobře vědomi, a proto vyvinuli řadu technik, jak rozpoznání jejich aplikací ztížit.
Pro rozpoznání takového provozu se nestačí dívat pouze na záhlaví jednotlivých paketů, ale je nutno hledat signatury v jejich obsahu a to často nejen ve více paketech, ale i ve více spojeních (sessions). Je nutné kombinovat i více metod. Základní metodou je stejně jako u antiviru vyhledávání textového řetězce. Samozřejmě je nutné hledat řetězec pouze v relevantní části provozu. Pokud by se řetězec hledal v libovolné časti provozu, pak by řada aplikací byla rozpoznána nesprávně (false positive). Jednoduchý příklad: řetězec „Kazaa“ má smysl detekovat pouze v políčku „user agent“ protokolu HTTP, viz obrázek 2. Další metodou jsou numerické vlastnosti
Pokud jste dočetli až sem, možná si říkáte – v našem podniku, úřadě atd. jsou aplikace P2P, Skype, aj. zakázány, proč se tedy něčím takovým zabývat? Z několika důvodů. Když zvážíme statistiky provozu v Internetu, které říkají, že v průměru 60 % provozu v pracovní době je P2P, je jasné, že takové zákazy jsou neúčinné. Pokud definujeme pravidla, musíme mít prostředky pro jejich prosazení a ověření. P2P, respektive zábavní aplikace, mají vliv na produktivitu práce i na bezpečnost. Jedná se o kód, který nelze ověřit a pokud autor v programu udělal nedbalostí nebo úmyslně bezpečnostní chyby, může dojít ke kompromitaci počítače a zcizení dat. Jakkoliv se potřeba DPI nejlépe ukazuje na příkladu P2P, existuje i řada podnikových aplikací, kde se uplatní. Dobrými příklady jsou VoIP se samostatnými protokoly pro signalizaci a přenos hlasu, i přístup k většině aplikací přes webové rozhraní (webifikace). Jen nad kvalitním DPI řešením lze postavit skutečně funkční monitoring sítě a její účinnou správu. Ale o tom si řekneme zase příště. PETR LASEK
12 %
HTTP BitTorrent
10 %
Frekvence (procento zpráv)
Decentralizovaná strukturovaná (Gnutela)
protokolu. Někdy se může o jednat vyjádření řetězce v jiném formátu, například v ASCII (ahoj = 97 104 111 106). Ale může se jednat o složitější záležitosti jako je délka paketů, délka zprávy a její pozice v paketu apod. Nejsložitější metodu detekce pak představují statistické a heuristické analýzy. Na obrázku 3 je vidět statistické rozložení délky paketů pro P2P aplikaci BitTorrent a pro běžné HTTP. Heuristická analýza znamená, že se metodou „pokus a omyl“ hledá jednoznačná charakteristika provozu dané aplikace.
8% 6% 4% 2% 0% 0
40
96
144
192
240
Obrázek 3: Statistické rozložení délky paketů BitTorrent a HTTP
280
336
364 432 480 Délka zprávy (v Bytech)
5
6
Information Assurance 2/2007
Rodina bezpečnostních produktů Microsoft Forefront Security V minulých letech Microsoft zakoupil několik menších firem věnujících se počítačové bezpečnosti a obohatil tak svou nabídku například o linii bezpečnostních produktů Antigen. Poté, co Antigen integroval se svými aplikačními servery a doplnil o několik zcela nových produktů, vytvořil komplexní a ucelené řešení bezpečnosti, které nazval Microsoft Forefront Security. Charakteristika Microsoft Forefront Security Produkty, které jsou součástí Forefront Security, jsou určeny do firemního prostředí. Ideálním adeptem pro nasazení těchto produktů je firma, která již má svou síťovou infrastrukturu postavenu na
Forefront Security for Exchange Server Jedním z nejstarších členů produktové řady Forefront Security je Forefront Security for Exchange Server (dále jen FSE), jehož cílem je ochrana firemní elektronické pošty před viry a nevyžádanou poštou. Nejvýznamnějším rysem, kterým se zároveň odlišuje od mnoha podobných produktů třetích stran, je možnost současného využití až pěti různých antivirových skenovacích strojů (vybírat se dá ale z ještě více strojů, například se jedná o Norman Virus Control, Microsoft Antimalware Engine, Sophos Virus Detection Engine, CA InoculateIT atd.). Pokud jsou poštovní zprávy kontrolovány současně několika různými skenovacími stroji s aktuálními antivirovými databázemi, je méně pravděpodobné, že tímto sítem nějaký
Vysokého výkonu FSE je dosaženo pomocí efektivního využití více procesorů a více vláken procesů. Ke kontrole zpráv lze pro urychlení práce použít dostupnou fyzickou paměť. Zkontrolované zprávy mohou být doplněny o antispamové nebo antivirové razítko. Toto razítko identifikuje, jaký prohledávací modul byl použit ke kontrole zprávy, s jakou signaturou a kdy byla zpráva kontrolována naposledy. Pokud se ve firmě vyskytuje několik různých Exchange serverů plnících různé role, tato razítka zamezují zbytečným několikanásobným kontrolám. Ve výčtu vlastností produktu Forefront Security for Exchange Server by se dalo ještě dlouho pokračovat a tak všechny zájemce odkazuji na informace dostupné na adresách uvedených v seznamu použitých zdrojů. MILAN JIRSA
produktech Microsoftu. To znamená, že na klientech běží Windows, počítače v síti jsou součástí domény a jako adresářovou službu využívají Active Directory, elektronická pošta je řešena pomocí serveru MS Exchange a firemní webový portál tvoří server MS SharePoint. Za největší přednost řady Forefront Security firma Microsoft považuje především bezproblémovou integraci všech produktů mezi sebou, ale i s existující firemní informační infrastrukturou. Dále je to jednoduchost nasazení i správy těchto produktů, která vyplývá z jednotného rozhraní všech správcovských nástrojů a z využití takových sjednocujících prvků, jako je Active Directory, Group Policy a Windows Server Update Services. Řada produktů Forefront Security se dá rozdělit do tří skupin, nazvaných ochrana klientů, ochrana aplikačních serverů a ochrana rozhraní mezi firemní sítí a Internetem. Toto dělení je spolu s konkrétními produkty zachyceno na obrázku 1.
vir projde. Uživatel má samozřejmě možnost nakonfigurovat antivirovou kontrolu tak, aby dosáhl rovnováhy mezi rychlostí a výkonem – standardní nastavení ale dává přednost vyšší spolehlivosti kontroly.
Obrázek 1: Přehled bezpečnostních produktů Microsoft Forefront Security
Zdroje Microsoft Forefront: Úplná řada produktů zabezpečení,
FSE umožňuje filtrovat přílohy poštovních zpráv podle jména, typu a velikosti. Pokud najde podezřelou přílohu, může ji smazat nebo uložit do karantény. Kontrole se nevyhnou ani soubory komprimované, uložené v některém z běžných typů archivů. Nejen obsah zpráv, ale i vlastní text zprávy lze filtrovat pomocí klíčových slov. Nežádoucí klíčová slova ve zprávě typicky způsobí její zablokování.
www.microsoft.com/cze/windowsserversystem/ forefront/default.mspx Microsoft Forefront Overview, www.microsoft.com/forefront/2006/prodinfo/ overview.mspx An Introduction to Microsoft Forefront, www.windowsecurity.com/articles/IntroductionMicrosoft-Forefront-Part1.html
2/2007 Information Assurance
Řídíte bezpečnost informací? S růstem strategického významu informačních systémů se jedním z klíčových úkolů managementu každé organizace stává zajištění dostupnosti, důvěrnosti a integrity informací. Podnikání ovlivňuje také legislativa, konkurenční prostředí i tlak klientů na bezpečnost. Pokud chcete vyhovět těmto podmínkám a ochránit informace před hrozbami, účinným pomocníkem se stává zavedení systému řízení bezpečnosti informací. Zavedení systému řízení bezpečnosti informací (ISMS – Information Security Management System) zahrnuje návrh a implementaci procesů, vedoucích k řízení informační bezpečnosti, kontrolu způsobu jejich implementace a neustálé udržování a zlepšování. Případná certifikace systému řízení bezpečnosti informací nezávislou certifikační organizací prezentuje zákazníkům, partnerům, veřejnosti, vlastníkům i státním a regulačním orgánům úsilí v oblasti ochrany informací.
negativních následků, k co nejrychlejšímu uvedení do původního stavu a ke zvýšení stability organizace ve všech činnostech, ve kterých přichází do styku s informacemi..
Fáze „Dělej“ Organizace mají evidentní zájem prokázat svoji důvěryhodnost zákazníkům a partnerům, kteří vyžadují záruky pro poskytnutí kvalitních služeb i produktů. Certifikace systému řízení bezpečnosti informací v organizaci provedená dle normy ISO 27001 je jedním z významných faktorů ovlivňujících tyto záruky – potvrzuje veřejnosti a klientům shodu s požadavky této normy a dokazuje jim vysoký důraz na kvalitu poskytovaných služeb.
Bezpečnost ovlivňují neustálé změny prostředí, a proto je její zajištění nikdy nekončícím procesem. Systém řízení bezpečnosti informací je založen na soustavném opakování cyklu PDCA (Plan, Do, Check, Act – Plánuj, Dělej, Kontroluj, Jednej – viz obrázek 1). Zavedení ISMS znamená definování všech potřebných procesů a první dokončení cyklu. Konkrétní míra formalizace závisí na velikosti organizace a jejím stylu řízení.
Fáze „Plánuj“
K hlavním důvodům zavádění ISMS patří legislativní požadavky kladené na veřejné i soukromé organizace. Například zákon č.101/2000 Sb. o ochraně osobních údajů stanovuje, že provozovatel informačního systému (IS) je povinen přijmout taková opatření, aby nedošlo k narušení důvěrnosti a integrity osobních údajů. Zákon č.365/ 2000 Sb. o informačních systémech veřejné správy hovoří o tom, že provozovatel IS je povinen zajišťovat ochranu a bezpečnost informací v rámci provozovaného IS. Důležitou úlohu hrají také doporučení jako například dokument vlády Národní strategie informační bezpečnosti (NSIB) ČR, který uvádí detailní doporučení pro řízení a zavádění systému řízení informační bezpečnosti.
Plánování představuje základ budování systému řízení informační bezpečnosti. Je při něm stanoven rozsah systému řízení bezpečnosti, definována bezpečnostní
Zajištění kontinuity činnosti organizace se řadí k dalším možným důvodům pro zavedení ISMS. Součástí ISMS je stanovení rámce postupů a činností pro případ útoku či katastrofy, vedoucích k minimalizaci
Fáze „Dělej“ zahrnuje zavedení a využívání bezpečnostních opatření, procesů a postupů včetně monitorování jejich účinnosti. Součástí je rovněž vytvoření plánu kontinuity a reakcí na bezpečnostní incidenty.
Fáze „Kontroluj“ V této fázi je posouzena funkčnost a efektivnost procesů a opatření, jsou provedeny interní audity, přehodnocena rizika a je přezkoumán systém řízení bezpečnosti informací.
Nikdy nekončící proces
Důvody pro zavedení ISMS
Důležitým hlediskem je potřeba ochrany dat a informací jedinců. Banky, pojišťovny či nemocnice zpracovávají a uchovávají velké množství údajů o svých klientech a pacientech. Také státní správa a úřady shromažďují o občanech spousty dat. Tyto informace je potřeba ochránit a nedopustit, aby byla ztracena, zneužita nebo s nimi bylo neoprávněně manipulováno.
politika, navrženo řízení rizik včetně jejich vyhodnocení a jsou vybrána opatření pro snížení rizik.
Fáze „Jednej“ Na základě výsledků předchozí fáze jsou provedena nápravná a preventivní opatření. Jelikož bezpečnost je dynamická a komplexní, nedá se omezit pouze na informační systém nebo informační a komunikační technologie. Její udržení závisí i na procesech v organizaci, na jednání zaměstnanců a na jejich bezpečnostním uvědomění. Pokud bude toto vše správně řízeno, znamená to pro organizace zlepšení jejich pozice ve vysoce konkurenčním prostředí. MARTINA ČERNÁ
Jednej
Plánuj
Udržování a zlepšování ISMS
Ustavení ISMS
Bezpečnost informací, požadavky a očekávání
Řízená bezpečnost informací
ISMS Kontroluj
Dělej
Monitorování a přezkoumání ISMS
Zavedení a provozování ISMS
Obrázek 1: Základní principy fungování procesu označovaného jako PDCA
7
