Ochrona w sprzęcie

Niektóre przełączniki i rutery mogą identyfikować, zapobiegać lub co najmniej redukować zagrożenia bezpieczeństwa, jednak nadal problemami są: współdziałanie, wydajność i zarządzanie.

Niektóre przełączniki i rutery mogą identyfikować, zapobiegać lub co najmniej redukować zagrożenia bezpieczeństwa, jednak nadal problemami są: współdziałanie, wydajność i zarządzanie.

Wielu dostawców urządzeń sieciowych zaczęło umieszczać w nich funkcje ochronne, dotychczas wykonywane przez rozwiązania specjalistyczne. To część strategii pozwalającej na uczynienie z infrastruktury sprzętowej sieci składowej systemu ochrony nowoczesnych centrów danych.

Dostawcy ci uważają, że przełączniki i rutery powinny być dostatecznie "inteligentne", aby rozpoznawać i zatrzymywać ataki związane z przepełnieniem bufora, poddawać kwarantannie zainfekowane czy nieznane klienty oraz wspomagać stosowanie łatek.

Taki pogląd to szczególnie ważny argument w dyskusji o atakach typu "dzień zero", w których gry hakerskie zaczynają się w tym samym dniu, w którym są ogłaszane nieszczelności oprogramowania.

Ataki dnia zerowego obnażają słabość ochrony przedsiębiorstwa: niedostatki architektury "ciężko opancerzonej", zorientowanej na oprogramowanie, tworzonej poprzez tradycyjne projekty ochrony sieci. Takie projekty mogą sprawić, że ochrona obwodowa będzie trudniejsza do sforsowania, ale nie powstrzymają nieuczciwych użytkowników wewnętrznych i nie zapobiegną sprowadzaniu szkodliwej zawartości.

Zabezpieczenie infrastruktury sieciowej jest przedmiotem najnowszych strategii obronnych prezentowanych przez dostawców urządzeń sieciowych, takich jak Self-Defending Network z Cisco, Secure Networks firmy Enterasys Networks, Clear-Flow z SecureNetworks i Unified Security Framework firmy Nortel. Każda z nich ma zapewnić sieci wyposażenie mające pomóc w identyfikowaniu, zapobieganiu lub co najmniej zmniejszeniu skutków naruszenia bezpieczeństwa.

Kontrola na wejściu

Ochrona w sprzęcie
Cisco ma swój program Network Admission Control (NAC) zakładający używanie urządzeń infrastruktury sieciowej do ochrony przed rozprzestrzenianiem się wirusów i wormów. NAC, który Cisco definiuje przy udziale firm Symantec i Trend Micro, stał się elementem koncepcji Self-Defending Network.

Na początek firma oferuje CSA (Cisco Security Agent). Oprogramowanie to, działające na kliencie i serwerach sieci przedsiębiorstwa, uwierzytelnia użytkowników i zapewnia dostęp oparty na regułach polityki bezpieczeństwa.

Jeżeli desktop użytkownika nie zawiera najnowszych łatek Internet Explorer oraz najnowszych plików sygnatur wirusów, CSA będzie takie urządzenie poddawać kwarantannie lub zablokuje mu dostęp.

Jednocześnie skupiono się też na "twardszej" ochronie dla VPN. Cisco rozszerzyło szyfrowanie poziomu łącza na VPN oparte na IP-sec i SSL. Dotychczas szyfrowanie na poziomie łącza było dostępne tylko dla SSL VPN i zapewniało ochronę między każdymi dwoma punktami końcowymi, przez które przechodzi tunel IP - od źródła do miejsca przeznaczenia.

Cisco rozważa także wymianę certyfikatów, jako sposób na identyfikację użytkownika i obsługę zarządzania tożsamością.

Firma poszukuje także modelu VPN, który wychodziłby poza IPsec, SSL czy usługi dedykowane i tworzył bezpieczne połączenia między węzłami w Internecie. Oznacza to zagnieżdżenie układów ASIC w przełącznikach oraz ruterach publicznych i prywatnych, używanych do szyfrowania na poziomie łącza, ściślej zintegrowanych z aplikacją, która ich używa - niezależnie od tego, czy jest to poczta elektroniczna, pakiet rozliczeniowy, czy duża transakcja e-commerce.

Przełączniki z ochroną

Ochrona w sprzęcie
Firma Extreme zagnieżdża funkcje ochronne w swoim przełączniku BlackDiamond 10K dla Ethernetu 10G. Do wykrywania anomalii sieciowych, takich jak wirusy, BlackDiamond wykorzystuje oprogramowanie Clear-Flow. Może ono zapewniać szczegółowy wgląd w ruch sieciowy, sprawdzając cały ruch kierowany do serwera lub wszystkie pakiety telnet - zależnie od polityki, jaką użytkownik chce implementować.

Clear-Flow może także filtrować ruch i śledzić częstość poszczególnych zdarzeń, takich jak potok pakietów SYN do serwera (przygotowanie do ataku DoS) lub nowe połączenia inicjowane z węzła sieci (co może oznaczać samopropagację worma). Gdy takie zdarzenia przekroczą ustalone progi, Clear-Flow kieruje ruch poza sieć - do lustrzanego portu - i wysyła alarm do administratora sieci.

Po zaistnieniu szczególnych warunków, Clear-Flow może także uaktywniać specyficzne reguły polityki sieciowej. Może np. poddać kwarantannie serwer lub zablokować ruch telnet na wszystkich punktach wejściowych do sieci.

Clear-Flow może obsługiwać 128 tys. reguł i penetrować pakiety wejściowe pod kątem sygnatur cyfrowych lub ciągów kodów związanych z poszczególnymi wirusami. Mechanizmy Clear-Flow są dostępne dzisiaj jedynie w przełącznikach BlackDiamond 10K, ale firma ma w planach udostępnienie ich w całej linii produktowej.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200