Siła koncepcji
-
- Mariusz Stawowski,
- 16.12.2002
Inną kontrowersyjną metodą wczesnego wykrywania zagrożeń, a w zasadzie opóźniania skutków potencjalnych włamań jest tworzenie wydzielonych podsieci "udających" sieć wewnętrzną. Metoda ta, nazwana w jęz. angielskim honeypot, czyli "garniec miodu", może być źródłem praktycznej wiedzy na temat nowych zagrożeń i technik hakerów, co czyni ją użyteczną dla firm zawodowo zajmujących się bezpieczeństwem. Dla zwykłej firmy stosowanie takich rozwiązań jest jednak zbyt ryzykowne - jeżeli system honeypot nie został poprawnie przygotowany, intruz może przejąć nad nim kontrolę, a następnie dokonywać za jego pomocą jawnych ataków na sieci innych firm. W efekcie właściciel sieci honeypot będzie mieć trudności z wytłumaczeniem, że włamania nie dokonali pracownicy firmy.
Razem czy osobno
Filtracja pakietów czy kontrola typu statefull inspection, realizowana na poziomie trzeciej warstwy OSI, nie powodują znaczącego obniżenia wydajności systemów informatycznych. Ograniczenie się jedynie do tych metod nie pozwala jednak na wykonywanie precyzyjnej kontroli działania aplikacji sieciowych (np. uwierzytelniania użytkowników, blokowania niedozwolonych poleceń, kontroli dostępu do określonych danych itp.).
Systemy zaporowe funkcjonujące na poziomie aplikacji, określane jako firewall proxy lub application gateway, mają w tym zakresie większe możliwości, powodują jednak stosunkowo duże opóźnienia w działaniu aplikacji. Mają też pewne dodatkowe ograniczenia wynikające z faktu, że funkcjonują jako procesy w systemie operacyjnym, np. ograniczona liczba deskryptorów plików dla jednego procesu, ograniczona liczba procesów na maszynie firewall, ograniczone możliwości synchronizacji stanu procesów w klastrowych rozwiązaniach zaporowych.
Ustalanie zasad prawidłowego podejścia do spraw bezpieczeństwa systemów informatycznych jest od lat przedmiotem badań instytucji państwowych i firm komercyjnych. Wśród twórców wytycznych, norm i wymagań odnoszących się do bezpieczeństwa systemów w USA jest m.in. amerykańska Narodowa Agencja Bezpieczeństwa (NSA), Narodowy Instytut Standardów i Technologii (NIST), a także liczne stowarzyszenia i instytucje pozarządowe, np. SANS Institute czy ISACA. Odpowiednie dyrektywy wydała w tym zakresie także Unia Europejska (95/46/EC, 97/33/EC, 97/66/EC, 98/10/EC, 99/93/EC, 2002/58/EC).
Najpełniejszym opracowaniem w tej dziedzinie jest wydana w 1995 r. przez brytyjski Instytut Normalizacyjny (BSI) norma BS 7799. Na jej podstawie w 2000 r. powstała ogólnoświatowa norma ISO/IEC 17799:2000 firmowana przez Międzynarodową Organizację Normalizacyjną (ISO) oraz Międzynarodową Komisję Elektrotechniczną (IEC). Regulację tę nazwano: Praktyczne zasady zarządzania bezpieczeństwem informacji. Polski Komitet Normalizacyjny pracuje już nad stworzeniem jej polskiego odpowiednika. Dotychczasowe wytyczne w dziedzinie bezpieczeństwa można znaleźć m.in. w Dzienniku Ustaw nr, nr z 29.08.1997, 03.06.1998, 08.02.1999 i 05.03.1999.
Większość obecnych na rynku rozwiązań ma charakter hybrydowy - integruje filtrację pakietów w trybie statefull inspection, application gateway oraz funkcje IDS. Ponadto większość systemów zaporowych jest już standardowo wyposażana w moduły kryptograficznej ochrony transmisji umożliwiające tworzenie sieci VPN. Odpowiednie zabezpieczenia są aktywowane w zależności od potrzeb, aby zapewnić wymagany poziom ochrony bez niepotrzebnego obciążania wydajności.
Producenci rozwiązań zaporowych implementują w nich coraz to nowsze techniki programowego i sprzętowego przyspieszania pracy zabezpieczeń. Przyspieszenie programowe polega na wykonywaniu podstawowych algorytmów kontroli ruchu sieciowego na poziomie jądra systemu operacyjnego. Podejście sprzętowe opiera się na implementacji algorytmów zabezpieczeń w specjalizowanych układach scalonych ASIC (Application-Specific Integrated Circuit). Dzięki obu tym zabiegom w obecnych warunkach możliwe jest uzyskanie przepływności systemów zaporowych nawet rzędu 12 Gb/s. Ta wygoda ma oczywiście ponadprzeciętną cenę - z reguły na poziomie ok. 100 tys. USD i więcej. Żaden producent nie jest w stanie dostarczyć wszystkich rodzajów zabezpieczeń, toteż zawierają porozumienia, łącząc komplementarne względem siebie produkty w kompleksowe rozwiązania. Przykładem może być Check Point OPSEC, Cisco AVVID Partner Program czy NetScreen Global Security Alliance. Przejrzenie listy firm współpracujących w ramach poszczególnych programów może być bardzo pomocne w tworzeniu koncepcji bezpieczeństwa dla istniejących sieci oraz przy wyborze konkretnych rozwiązań na potrzeby nowych instalacji.
