Ochrona punktów końcowych sieci

Szybki rozwój zdalnych metod dostępu - wykorzystywanych przez pracowników mobilnych, klientów czy partnerów biznesowych - jest poważnym wyzwaniem dla bezpieczeństwa infrastruktury IT. Tradycyjne rozwiązania zdalnego dostępu, takie jak VPN, zapewniają bezpieczne połączenia, ale nie obejmują bezpieczeństwa klienta podłączającego się do sieci.

Punktem końcowym sieci może być pecet lub urządzenie mobilne, a także aplikacja, np. przeglądarka webowa lub aplikacja messagingu z podłączeniami do innych punktów końcowych w sieci. Punkt końcowy to zakończenie połączenia sieciowego współpracujące z użytkownikiem, który ma zasadniczy wpływ na jego bezpieczeństwo, a tym samym i całej sieci.

Urządzenia klienckie stają się ostatnio coraz częściej celem ataków, które nie mają intencji ich niszczenia. Można natomiast zaobserwować wykorzystywanie klienta jako agenta transferu zagrożeń do sieci przedsiębiorstwa.

Krytycznym zagadnieniem staje się więc zarządzanie ochroną punktów końcowych oraz sieci, do których się podłączają.

Oznacza to konieczność dysponowania mechanizmami kontroli zainstalowania i pracy właściwych aplikacji ochronnych, ich regularnego uaktualniania i aktualności łatek programowych.

Na rynku pojawia się wiele produktów i architektur ochronnych, przeznaczonych do izolowania od sieci potencjalnie podatnych na infekcje lub zainfekowanych maszyn.

Przykładem jest urządzenie

Network VirusWall 2500 i oprogramowanie OfficeScan 7 firmy TrendMicro. VirusWall jest urządzeniem włączanym do sieci, które może dopuszczać lub zabraniać dostępu do sieci zgodnie ze zdefiniowanym zestawem reguł polityki ustawianym w samym urządzeniu. System, który próbuje uzyskać dostęp do sieci, jest skanowany pod kątem luk (brakujące łatki, nieszczelne usługi). Może pracować przez VPN i integruje się z różnymi bramami VPN.

VirusWall 2500 i jego możliwości wymuszania reguł polityki są ściśle zintegrowane z OfficeScan - tak więc przeoczone oprogramowanie antywirusowe może być łatwo zainstalowane, a wykryte wirusy usunięte automatycznie.

Innym przykładem jest Cisco Clean Access - technologia działająca w urządzeniach wpiętych do sieci i egzekwująca zgodność punktów końcowych z wymogami polityki - w połączeniu z modułami Cisco Trust Agent (CTA), rezydującymi na maszynach klienckich.

CCA identyfikuje sygnatury antywirusowe oraz brakujące łatki systemu operacyjnego. Używając interfejsu zarządzania CCA, można ustawić w urządzeniu reguły uwzględniające takie zdarzenia, jak: uwierzytelniony użytkownik, nieuwierzytelniony użytkownik, luki wykryte przez skanowanie i niepomyślna kontrola zgodności.

Jeżeli użytkownik nie zostanie uwierzytelniony przez CCA, można ograniczyć mu dostęp jedynie do określonych obszarów sieci. Użytkownik uwierzytelniony może być poddany kontroli na wyższym poziomie w celu uzyskania szerszego dostępu do zasobów sieci. System niespełniający wymagań można wyposażyć w plik instalacyjny, powiadomić komunikatem alarmowym lub skierować pod wybrany URL (w celach naprawczych).

Sieci VPN

Rozwiązania oparte na IPSec są uważane za jeden z najbezpieczniejszych sposobów realizacji rozległych sieci prywatnych. SSL VPN, pomimo swoich zalet, jak wykorzystanie przeglądarki, nie wypiera IPSec. Firmy sprzedają o wiele mniej tego typu produktów.

Pojawiły się urządzenia umożliwiające zestawianie połączeń wirtualnych opartych zarówno na IPSec, jak i protokole SSL/TLS. Użytkownicy niewymagający dostępu do specjalistycznego oprogramowania i otoczenia sieciowego zadowalają się połączeniem SSL, natomiast osoby o większych wymaganiach i wiarygodności mogą zestawiać tunele IPSec.

Sieci VPN są wykorzystywane do zabezpieczania transmisji w sieciach WLAN. Jest to, jak dotąd, na strone 65 najpewniejsza metoda gwarantująca poufność, wobec ujawnianych co pewien czas przypadkach przełamania zabezpieczeń sieci WLAN (WPA, WEP).

Sieci VPN znajdują również zastosowanie przy zabezpieczaniu transmisji VoIP. Dostępne są sprzętowe rozwiązania realizujące transmisję VoIP-VPN. Oferują one mechanizmy QoS. Dzięki połączeniu telefonii IP z usługą VPN zdalni pracownicy mogą korzystać z firmowych central.

Produkty VPN często oferują sprawdzanie maszyny klienckiej pod kątem złośliwego oprogramowania oraz czyszczenie pamięci po zakończeniu sesji. Różnym grupom klientów można przydzielać odmienne strefy bezpieczeństwa.

Rozwiązania open source VPN nadają się tylko do mniejszych instalacji. Przy większej liczbie połączeń i obciążeniu złożoność obliczeniowa przerasta możliwości przeciętnego serwera. Na tym polu rozwiązania sprzętowe są bezkonkurencyjne. Nawet w mniejszych sieciach są one także atrakcyjną ofertą. Koszty najmniejszych VPN appliance wahają się w granicach 350-1000 zł. W zamian otrzymujemy prostotę i szybkość konfiguracji - opcje nie zawsze dostępne w darmowych produktach, oraz względną niezawodność.

Firmy, które nie chcą inwestować w sprzęt VPN oraz jego obsługę, mogą wykupić zarządzaną usługę VPN u firmy zewnętrznej. Usługa VPN znajduje się w ofercie wielu operatorów i ISP. Przykładem jest warszawski urząd miasta, dla którego sieć VPN łączącą 22 oddziały stworzył Crowley. Również Energis, Netia czy TP SA oferują takie rozwiązanie swoim klientom. Infonetics szacuje, że firmy na usługi VPN wydają ok.10 razy więcej niż na sprzęt do ich realizacji.

<hr size=1 noshade>Brama do dławienia spamu

Urządzenia Symantec Mail Security serii 8100 umożliwiają zarządzanie ruchem przenoszącym spam. Ograniczają pasmo, jakie ruch ten może konsumować. Wpięte do sieci pomiędzy serwerami pocztowymi i Internetem, klasyfikują przepływający ruch pocztowy do jednej z dziesięciu kategorii, opierając się na historii spamu związanej z adresem IP pochodzenia. Następnie ograniczają zakres pasma, jaki każda z tych kategorii może użytkować. Mail Security 8160 zaprojektowano do obsługi dużego wolumenu - rzędu 550 wiadomości na sekundę.

Zapory z funkcją IDP

Juniper Networks oferuje systemy typu zapora ogniowa/VPN z rozszerzeniem wykrywania i zapobiegania włamaniom (IDP). ISG 2000 zapewnia zapobieganie włamaniom przy przepustowości dochodzącej do 2 Gb/s. Wykorzystując NetScreen-Security Manager, można stosować rozwiązania wykrywania i zapobiegania włamaniom w różnych trybach inline - osobno dla każdego protokołu. Administracja oparta na zadaniach pozwala przekazywać poszczególne zadania, związane z zarządzaniem bezpieczeństwem, odpowiednim pracownikom.

Kontrola dostępu do Internetu

Urządzenie ProxySG 200 firmy BlueCoat umożliwia wdrożenie i kontrolę przyjętej w firmie polityki dostępu do Internetu. Optymalizuje również pasmo, zwiększając wydajność sieci przedsiębiorstwa. ProxySG 200 mieści się w obudowie o wysokości 1U i jest przeznaczony do montażu w szafach 19". Zapewniania m.in. filtrowanie weba, ochronę przed spyware, kontrolę na poziomie komunikatorów internetowych i sieci wymiany plików P2P, ochronę antywirusową oraz optymalizację pasma. ProxySG 200 jest przeznaczone dla sieci od 10 do 100 użytkowników i ma przepustowość 4 Mb/s.

Kompleksowa ochrona serwerów

Check Point Connectra 1000 jest bramą pomiędzy użytkownikami a zasobami sieciowymi, pozwalającą na nawiązanie szyfrowanych połączeń SSL pomiędzy przeglądarką internetową a zasobami sieciowymi. Zapewnia ochronę wewnętrznych serwe- rów oraz aplikacji udostępnianych urządzeniom końcowym. Wbudowane mechanizmy Web Intelligence zapewniają ochronę przed atakami webowymi przekazywanymi w SSL. Przeznaczona dla średnich przedsiębiorstw - opcje licencjonowania do 250 użytkowników.

VPN w obu standartach

Ciisco ASA 5500 (Adaptive Security Appliance) to wielofunkcyjne urzadzenie umożliwiajace profilaktyczną ochronę sieci przed atakami.Integruje w sobie funkcje zapory ogniowej, koncentratora połaczeń IPSecVPN oraz SSL VPN, systemu zapobiegania atakomo raz chroni przed malware (robaki internetowe,wiru-sy sieciowe,spyware,adware itp.).