Bezpieczeństwo: zagrożenia stare, kierunki ataków nowe
-
- Józef Muszyński,
- 08.03.2012
Obecnie oferowany jest nowy model uwierzytelniania o nazwie Convergence. Jest podobny do innego, o nazwie Perspectives, który aktualnie sprawdza zespół z Carnegie Mellon University. W obu tych modelach zakłada się przeniesienie uwierzytelnianie serwerów webowych chronionych przez SSL z CA do nowych jednostek - "notariatów".
W dotychczasowym modelu, kiedy przeglądarka zamierza zestawić sesję SSL z serwerem, to prosi o jego certyfikat. Przeglądarka weryfikuje autentyczność certyfikatu sprawdzając, czy został podpisany przez główny ośrodek CA, któremu ufa.
Zobacz również:
- Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
- Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
- Niebotyczne ceny eksploitów zero-day
W modelu proponowanym w ramach projektów Perspectives i Convergence, zamiast polegać na ośrodkach certyfikacji przypisanych do przeglądarki, zaufanie przenosi się na notariaty. Notariaty to serwery, które na bieżąco śledzą i rejestrują, jakie certyfikaty prezentują serwery www. Kiedy przeglądarka odbierze certyfikat z serwera, prosi notariat, aby sprawdził ten certyfikat, czy był on regularnie widywany w jakimś okresie czasu. Jeżeli tak, to jest to podstawa do uznania, że jest to legalny certyfikat dla tej witryny.
Taka architektura daje użytkownikom większą elastyczność - mogą wybrać ośrodki, którym ufają, a następnie zmieniać ten wybór w dowolnym momencie. W istniejącym systemie przeglądarka ma przypisany główny CA, a to oznacza, że zaufanie jest ograniczone na linii przeglądarka - CA.
Jednak, aby zamienić istniejący system uwierzytelniania SSL, konieczne będzie utworzenie światowej sieci serwerów-notariuszy, podobnej do sieci serwerów DNS, a trzeba pamiętać, że SSL jest szeroko używany i potrzebne tu jest również współdziałanie dostawców przeglądarek.
Mariusz Rzepka,
Fortinet, dyrektor regionalny - Polska, Białoruś, Ukraina
Jaka jest przyszłość zapór nowej generacji, kumulujących w sobie ochronę wielowarstwową?
Implementacja systemu klasy Next Generation Firewall (NGF) to dopiero połowa drogi do pełnego bezpieczeństwa. Aby ochronić sieć przed wszystkimi zagrożeniami, zapora musi obejmować również tradycyjne funkcje filtrowania pakietów, systemu antywirusowego, antyspamowego czy filtracji URL. Innymi słowy, aby dostarczać ochronę w obiecywanym zakresie, oprócz nowych funkcji zabezpieczeń, takich jak kontrola aplikacji - zapory nowej generacji muszą przede wszystkim dysponować solidną, sprawdzoną bazą podstawowych zabezpieczeń sieciowych. Dlatego największą przyszłość mają obecnie rozwiązania, które kumulują w sobie ochronę wielowarstwową - Next Generation Security (NGS-UTM).
Czy taka koncentracja jest korzystna w rozbudowanych sieciach?
Rozwój i dostosowywanie systemów bezpieczeństwa do zmieniających się zagrożeń przez zwiększanie wydajności i uruchamianych na nich nowych funkcji, daje użytkownikowi same korzyści. Umiejętnie dobrane rozwiązanie UTM jest w stanie zastąpić kilka systemów punktowych, co zmniejsza koszty utrzymania infrastruktury IT, upraszcza zarządzanie, ułatwia aktualizację, przyspiesza reakcję na incydenty, zmniejsza zużycie energii oraz daje pełniejszy obraz ruchu w sieci. Posiadanie certyfikatów, takich jak: ICSA, VB100, NSS Labs, FIPS-140 czy Common Criteria - to dodatkowa polisa bezpieczeństwa. System UTM/NGS pozwala na implementację większej ilości polityk bezpieczeństwa w oparciu o normę ISO 27001, dobre praktyki oraz przepisy prawa
