Az informatikai rendszerek és hálózatok hajnalán kevéssé törődtek a védelemmel, melynek számos oka volt. Egyrészt csak kevés ember értett igazán az informatikához, gépeket és hálózatokat csak igazán „gazdag” szervezetek engedhettek meg maguknak. Aki hozzá is fért ezekhez a rendszerekhez, az meglehetősen szem előtt volt, persze ez nem zárta ki az ilyen esetek előfordulását. Az IT és a hálózathasználat robbanásszerű térnyerésével a hálózathoz való hozzáférés pont olyan egyszerűvé vált, mint amilyen egyszerűen szerezhet magának bárki kábeltévét, mobiltelefont vagy akár vizet, villanyt, tejet vagy kenyeret. Nyilvánvaló, hogy a rossz szándékú aktivitás ugyanilyen mértékben növekedett. Sajnos nem tett jót az a gigantikus szoftver igény, amit a napi feladatok ellátása támasztott, ugyanis a különféle fejlesztő cégek által kreált alkalmazások egyetlen sikerkritériuma a működés volt, a biztonsági megfontolások kevésbé játszottak szerepet. Sajnos napjainkban sem. A védelem ekkortájt meglehetősen ad-hoc jelleget öltött. Amikor fény derült valamilyen hibára, hiányosságra, gyors megoldásként telepítettek valamilyen eszközt, védelmet. Manapság ez édes kevés!
Az IT biztonság kívánatos szintjének elérése érdekében több rétegű rendszert kell építeni. A megoldásnak neve is van: mélységi védelem (defence in depth), mely nem meglepő módon a hadi tudományokból vettünk át. Lássuk a védelem helyét!
Az első vonal
A fizikai védelem, ami a rendszer őrzését jelenti, tehát annak a korlátozását, hogy ki, milyen körülmények között férhet hozzá a rendszereinkhez. Lehet bármilyen informatikai (logikai) védelmi rendszerünk, ha a gépekhez különösebb erőfeszítések nélkül férhetünk hozzá. Itt nem első sorban a szerverekre kell gondolni (remélem a szerver szobát mindenki zárja), hanem a hálózathoz való hozzáférésre. Gyakori hiba, hogy a támadót a hálózaton kívülre képzeljük: „Itt mindenki megbízható!” és a belső hálózatról gyakorlatilag korlátlanul lehet a belső erőforrásokat elérni. A vezeték nélküli hálózatok használat sajnos csak rontja az esélyeket, hiszen már be sem kell lépnünk az épületbe, elég hozzá egy méretes antenna.
Második lépés
Azonosítás, hitelesítés, ami megfelelő felhasználói hitelesítést végzi. Célja, hogy megfelelőképpen meggyőződjünk arról, hogy tényleg az a felhasználó veszi-e igénybe a szolgáltatást, akinek van hozzá jogosultsága. Ehhez szükségünk lesz azonosítási módszerekre, eljárásokra és persze megfelelő kliensekre.
Falak és egyéb védművek
Tűzfalak, melyek vállalat biztonsági szabályait a hálózati határpontokon kényszerítik ki. Szerencsés esetben minden vállalatnak van valamilyen szabályzata (Informatikai Biztonsági Szabályzatnak, röviden IBSz-nek hívják), mely rendelkezik a vállalat számára elérhető informatikai erőforrások használatának feltételeiről. Ennek egy passzusa szabályozza a határpontokon keresztül elérhető szolgáltatásokat. A tűfalaknak két alapvető típusa létezik: a csomagszűrő és a proxy tűzfal. Az első a csomagok fejléceiből elérhető információk alapján hozza meg a döntést. Gyakorlatilag csak azt tudja szabályozni, hogy mely felhasználó mely szerverrel kommunikálhat, míg az utóbbi azt is, hogy milyen kommunikációs formákat, milyen szolgáltatásokat vehet igénybe és valóban betartja-e annak a követelményeit. Olyan ez, mint amikor a biztonsági őr nem csak a beérkezett csomag feladóját és címzettjét ellenőrzi, de ki is bontja a pakkot és megvizsgálja annak tartalmát.
Behatolásfigyelő rendszerek
Behatolás érzékelő és védő rendszerek, melyek feladata egy esetleges támadás érzékelése és a támadási kísérletek megakadályozása. Kérdés, hogy miért van szükség IDS/IPS rendszerre, ha amúgy is van tűzfalunk? A tűzfal kizárólag a saját szintjén képes szabályokat kikényszeríteni, így azokra a támadási kísérletekre, amik betartják ezeket a protokollokat a tűzfalak vakok. Az IDS/IPS rendszerek ezeket a támadásokat látják meg és próbálják visszaverni.
Egy kis stratégia
Demilitarizált zónák (DMZ), melyek általában publikus szolgáltatásokat nyújtanak (akár) a nagyvilág számára. Egy jól megtervezett informatikai rendszer (hálózat) részei biztonsági zónákra vannak osztva, pontosan úgy ahogy egy katonai területen az egyes objektumok, épületek is és ezekbe e az objektumokba csak a megfelelő jogosultsággal rendelkező személyek mehetnek be. Pontosan így működik ez egy informatikai hálózat esetében. A rendszer elemei átesnek valamilyen besorolási procedúrán, amikor a rendszer biztonságáért felelős személyek eldöntik, hogy az adott eszköz milyen szolgáltatásokat nyújt és mennyire érzékeny adatokat tartalmaz. Ennek megfelelően telepítik a szükséges zónába. A DMZ, ami szintén a katonai tudományokból átvett fogalom, egy ilyen zóna, mely általában publikus szolgáltatásokat nyújt.
Ahol a vírusoknak el kéne akadni
Vírus és kártevő védelmi rendszerek, melyek talán nem szorulnak magyarázatra. Az egyetlen változás, hogy az asztali környezeten és szerveren futó vírusvédelmi eszközök mellet ma már fontos szerepet kapnak a vírus falak is, melyek a tűzfalakhoz hasonlóan a tartalmat ellenőrzik, ezzel teljes körűvé téve a védelmet a kéretlen látogatókkal szemben.
Elágazások és átjárók
Routerek és switchek, melyek a hálózat építés alap eszközei. Miért része hát a biztonságának? Azért mert a hálózatot kisebb részekre lehet bontani a segítségükkel. Az un. VLAN (nagyobb helyeken az MPLS) technológia segítségével a hálózat kisebb, látszólag különálló részekre bontható, ezáltal a hálózat szegmentáltabb lehet úgy, hogy nincs szükség extra eszközökre.
VPN, vagyis a virtuális magán-hálózat a belső hálózat kiterjesztése a külvilág felé, melynek segítségével külső gépeket, de akár teljes hálózatokat (pl. telephelyeket) köthetünk össze úgy, hogy ne sérüljön a hálózat bizalmassága. Ezért valamilyen rejtjelezési és tunneling technológiával köti össze az egyes hálózatokat és klienseket.
Ahol mindennek nyoma van
Naplózás és auditálás, melynek célja, hogy tudjunk minden olyan eseményről, ami a rendszerrel történik. Az intézkedéseink mit sem érnek, ha a gondosan felépített rendszerünket nem tartjuk szemmel. Ebbe bele tartozik a rendszer normális eseményeinek követése és a nem várt, rendkívüli eseményekre történő reagálás, válaszadás.
Látható, hogy korszerű védelmi rendszer felépítésekor fontos, hogy mélységében lássuk át a rendszert. Ne lokalizált, sziget megoldásokban gondolkozzunk, helyette komplex, együttműködő rendszereket építsünk. Csak így érhetjük el a megfelelő egyen-szilárdsággal bíró rendszert, ahol egyáltalán esélyünk felvenni a harcot az előforduló támadásokkal szemben.
Höltzl Péter
Balabit IT Security
Szakértőnk korábbi cikke: Hálózatbiztonság: nincs tökéletes védelem!