facebook LinkedIN LinkedIN - follow
IT SYSTEMS 7-8/2004

Nové trendy v zajišťování informační bezpečnosti

Miroslav Ludvík


Oblast zabezpečení informačních systémů se nestále vyvíjí a stále přicházejí nové trendy. Jako v každé oblasti lidské činnosti se "ujmou" jen některé. Které to budou, ukáže vždy až čas. Tento článek je proto rozdělen do dvou částí. První, výrazně obsáhlejší část je o trendech, které sice nejsou ničím novým - odborníci je znají již delší dobu - nicméně v současné době zaznamenávají nárůst a začínají se skutečně používat v praxi. V druhé části jsou krátce zmíněny dva nové trendy, které nejsou zatím implementovány.



Znovuobjevené trendy
VPN - Virtual Private Network
VPN je technologie již poměrně stará a hojně používaná, nicméně v poslední době prodělává poměrně zásadní vývoj. Zatímco existence VPN bylo dříve něco "extra", co si mohli dovolit jen některé společnosti, dnes je to zcela běžná součást firemní infrastruktury. VPN je zkratka odvozená ze slov virtual private network. Na rozdíl od jiných případů, zde doslovný překlad (virtuální privátní síť) poměrně dobře vystihuje význam tohoto pojmu. Jedná se o skutečně virtuální síť, neboť je provozována ve většině případů na fyzickém médiu, které není pod kontrolou provozovatele VPN. Typicky se může jednat například o Frame Relay linky, které jsou pronajaty od providera. Aby byla data na těchto linkách skutečně zabezpečena a byl vyloučen i odposlech jejich provozovatelem či jinou nepovolanou osobou, která má k datům po cestě přístup, je nutné data šifrovat. U VPN rozeznáváme dva základní typy. Jsou to site-to-site a client-to-site. Typické použití varianty client-to-site je připojování zaměstnanců do firemní sítě přes internet či jiné nedůvěryhodné médium. Na straně uživatele je nainstalován VPN klienta, veškerý provoz je šifrován zcela transparentně, aniž by se o tu uživatel musel nějak starat. Samozřejmostí je i odpovídající zařízení na straně, kam se klient připojuje. Pro tuto chvíli není důležité, zda se jedná o VPN koncentrátor, či firewall, který poskytuje možnost VPN. Na proti tomu varianta site-to-site slouží například pro bezpečné propojení poboček jedné společnosti. Pokud má organizace pobočky na různých místech a má potřebu tyto pobočky mít on-line propojené, pak se většinou k tomuto propojení používají ATM či FR linky. Využití těchto ne zrovna levných technologií si vynucuje potřeba garance určité kvality služeb, kterou při propojení přes internet z principu není možné. Z pohledu bezpečnosti se však připojení pomocí FR či ATM a internetu mnoho neliší, proto je nutné nad fyzickým médiem "postavit" médium virtuálním, přes které se pak komunikuje. Tím virtuálním médiem je již zmíněný šifrovaný tunel. Na obou stranách musí být odpovídající hardwarové i softwarové vybavení na straně hraničních routerů, firewallů či jiných speciálních zařízení. Hlavní výhodou tohoto řešení je skutečnost, že pro uživatele je zcela transparentní. Tím se vyloučí nejpravděpodobnější zdroj chyb, kterým je nepochybně lidský faktor. Pokud je tato technologie správně implementována, je vyloučeno, aby data mezi pobočkami putovala v nešifrované podobě.

Použití VPN je dnes naprostou samozřejmostí. Dříve se používalo pro autentizaci do VPN jméno a heslo, a pokud autentizace proběhla úspěšně, byl uživatel připojen do vnitřní sítě a měl zpravidla přístup ke všem zdrojům, stejně jako když byl připojen v práci do vnitřní LAN. V současné době se začíná používat vícefaktorová autentizace. Jako nejčastější forma autentizace se v současné době používají autentizační předměty (čipové karty a tokeny), které jsou rozumným kompromisem mezi kvalitní drahou biometrikou a ochranou heslem. Ve většině případů je uživateli umožněna autentizace jak autentizačním předmětem (s PINem nebo heslem), tak i jménem a heslem. Hlavní rozdíl pak spočívá v tom, že při autentizaci již zmíněným autentizačním předmětem má uživatel plný přístup ke zdrojům stejně jako kdyby seděl v práci, zatímco uživatel, který se autentizuje pouze jménem a heslem, má omezený přístup k informačním zdrojům organizace. I zde však zůstává výhoda naprosté transparentnosti. Další podstatnou změnou v užívání VPN, která vede k výraznému zvýšení úrovně zabezpečení, je skutečnost, že po úspěšné autentizaci není uživatel se svým počítačem automaticky připojen do VPN, ale jeho počítač je před připojením komplexně zkontrolován. Předmětem této kontroly můžou být různé parametry. Nejčastěji se počítače testují na přítomnost posledních patchů, originální firemní instalaci, přítomnost a nastavení příslušné PFW, poslední verzi antiviru, zda je antivirus aktivní či jiná nastavení a další podmínky. Pokud tyto podmínky nejsou splněny, je uživatel připojen do speciální oddělené a pro tento účel vytvořené části podnikové sítě, kde má možnost nainstalovat patche, antivir či splnit další podmínky. Pak se připojí znovu, a pokud splňuje veškeré podmínky, je připojen do podnikové sítě.




Standard 802.1x
802.1x je poměrně známý standard a nejedná se o žádnou novinku. O tomto standardu se mezi odbornou veřejností mluví již delší dobu. Problém je v tom, že se o něm dlouho jen mluví a snad jen v některých velmi specializovaných společnostech se začíná dělat pilotní projekt. To, že 65-80 % útoků pochází z vnitřní sítě, ví už téměř každý, kdo se problematikou informační bezpečnosti jen trochu zabývá. Metod, kterak "ošálit" switch a tím jej donutit, aby útočníkovi posílal pakety, které si přeje, je mnoho a jsou poměrně detailně popsány a notoricky známy (ať už se jedná o zahlcení switche, nebo využití nedokonalosti ARP protokolu). Aby se předešlo k připojování nedůvěryhodných počítačů do firemní infrastruktury a zároveň odpadly rutinní úkony, které souvisejí s fixací MAC adresy na port switche, začala se používat technologie VMPS. Tato technologie zařazuje počítače do jednotlivých VLAN na základě předem vytvořeného seznamu. Nároky na administraci jsou menší, a navíc tato technologie umožňuje volný pohyb počítače v síti organizace, což logicky není možné při pevné vazbě MAC adresy na port konkrétního switche. Standard 802.1x je výrazným posunem v nárocích na správu a v úrovni zabezpečení. Tento standard funguje tak, že switch, dříve než nějakému počítači dovolí vysílat, ověří jeho právo komunikovat v této síti. K tomuto ověření se užívá protokol RADIUS, který používá jednu ze dvou metod autentizace. Jedná se o autentizaci jménem a heslem, či certifikátem, který může být uložen na čipové kartě či tokenu. Z tohoto popisu je jasné, v čem spočívá posun v bezpečnosti. Domnívám se, že momentální trend bude směřovat k praktické aplikaci standardu 802.1x v kombinaci s tokeny. Uživatel bude mít jeden token, na kterém bude několik různých šifrovacích klíčů a certifikátů. Sice bude náročnější prvotní implementace infrastruktury, ale pro uživatele se vše zjednoduší a zároveň se výrazně zvýší úroveň zabezpečení. Ke zvýšení úrovně zabezpečení přispěje i to, že uživatel bude mít jeden token a k němu jeden PIN. Fakt, že na tokenu bude uloženo několik šifrovacích klíčů a certifikátů, uživatel v podstatě vůbec nezaznamená, a tak bude mít certifikát pro přihlášení do adresářových služeb, pošty, na chráněné weby atd. Navíc na tokenu mohou být klíče pro PGP, šifrování pevného disku apod. Ke všemu bude jeden PIN, a tak můžeme doufat, že uživatelé si svá hesla přestanou zapisovat do notesu mobilu, či dokonce na žluté papírky, které lepí na monitor.




Honeypots
Myšlenka honeypots (medových hrníčků) také není otázkou posledních měsíců. Stejně jako mnoho jiných myšlenek i tato se začíná v praxi ujímat až nyní, přestože odborníci ji znají již delší dobu. Tato myšlenka je založena na tom, že správce vytvoří systémy, které nemají řádné zabezpečení a pozorně sleduje dění na těchto systémech. Již v této fázi je nutné udělat první koncepční rozhodnutí. Pokud je útoků na naši organizaci dost a chceme monitorovat pouze reálné útoky, průzkumy či nové viry, vytvoříme "produkční" honeypot. Tento typ honeypotu se vyznačuje tím, že není veden v DNS, nevedou na něj žádné hyperlinky ani jiné odkazy. Jeho hlavní výhodou je naprosto nulové množství falešných poplachů. Pokud totiž vyjdeme z myšlenky, že systém, který neposkytuje žádné služby a nemá žádnou produkční hodnotu, nemá existovat, dojdeme logicky k závěru, že každou komunikaci s "produkčním" honeypotem lze chápat jako útok. Pokud však chceme studovat nové metody útočníků, virů atd., pak zvolíme "studijní" honeypot. Tento typ je v některých oblastech přesným protikladem produkčního honeypotu. U tohoto typu honeypotu volíme "lákavé´" DNS jméno např. fw.firma.cz, firewall.firma.cz, mail.firma.cz apod. Ve vnitřní síti se pak použijí jména typu vyplaty, personalni atd. Takto zvoleným jménem si zajistíme dostatek materiálu pro další studium potenciálního nepřítele. Honeypots jsou systémy, které mají za úkol činit dojem, že nejsou řádně zabezpečeny a že jsou na nich "zajímavá" data nebo že jejich kompromitací získá útočník strategický přístup. Ve skutečnosti na těchto strojích nejsou žádná důležitá data, nebo se jedná o data záměrně změněná. Nyní je třeba si ještě říci, proč se tzv. honeypots vlastně dělají a jaké jsou jejich cíle, což se dá shrnout do několika bodů: · Chceme studovat nové metody útoků, chování útočníků, virů červů atd. · Máme podezření na to, že se nás někdo snaží kompromitovat, a chceme zjistit kdo a mít dostatečně jasné "důkazy". · Kdo si hraje, nezlobí - útočník, který se zabývá našimi nastraženými systémy nemá čas hledat ty skutečné a útočit na ně. Jedná se vlastně o jakési odpoutání pozornosti útočníka.

Honeypot je možné realizovat pomocí virtuálního stroje (UML, Wine, Wmware), který běží na dobře zabezpečeném systému, jenž zároveň loguje chování útočníka. Další možností je, že útočníkovi podstrčíme skutečně nezabezpečený systém a veškerou síťovou komunikaci budeme monitorovat a vyhodnocovat. Asi nejpoužívanější možností, jak realizovat honeypot, jsou specializované SW, které simulují např. router Cisco, některý z webserverů či např. OpenRelay server. Honeypoty dělíme do dvou základních skupin. Jsou to tzv. low-interaction a high-interaction. Rozdíly mezi oběma skupinami jsou zřejmé již z názvu. Zatímco low-interaction poskytují často pouze přihlašovací prompt, či se jen tváří jako nějaká služba a neumožňují sledovat chování útočníka po proniknutí do systému, high-interaction dávají útočníkovi k dispozici nejen službu, či její část, ale celý stroj včetně operačního systému. Nevýhodou low-interaction honeypots je skutečnost, že se dozvíme výrazně méně informací než u high-interaction, neboť tam je možné sledovat i to, co útočník dělá, jak se snaží za sebou "zametat stopy" atd. Low-interaction honeypots mají podstatnou výhodu ve zpracování nasbíraných údajů, neboť to je obvykle podstatně jednodušší. V této oblasti došlo k nebývalému rozvoji komerčních i nekomerčních produktů, které lze použít jako základ pro budování honeypotu či honeynetu. V tabulce jsou uvedeny ty nejznámější.

Nekomerční Komerční
LaBrea Tarpit NetBait
Honeyd Specter
Honeynets KFSensor
Sendmail SPAM Trap ManTrap
Tab. 1: Produkty pro realizaci honeypotů


Šifrování částí HDD
Šifrování části dat na lokálních discích není ničím novým. Nicméně většina těchto software měla do nedávné doby pouze omezenou funkčnost a nezřídka jsme se setkávali spíše s kódováním než s kvalitním šifrováním. Tyto problémy nyní již pominuly a společnosti i jednotlivci si začínají uvědomovat, že se jedná de facto o nutnost. Neboť k čemu mi je perfektní síťová ochrana, když někdo ukradne notebook nebo stolní počítač a má téměř všechna data. Novinkou v této oblasti je především skutečně kvalitní šifrování na síťových discích, což je i technologicky poměrně náročné. Nicméně již existují produkty, které to zvládají. Další poměrně nově užívanou vlastností, která má velký potenciál růstu, je možnost, nikoli nutnost, začlenění šifrování diskových prostorů do PKI (infrastruktury veřejných klíčů). Z toho vyplývá, že společnosti, které PKI využívají například pro VPN, mohou jednoduše šifrovací software integrovat a výrazně tím sníží nároky na administraci. Důležitým faktorem také je, že šifrování musí pracovat zcela transparentně bez spolupráce s uživatelem. Jen tehdy je naděje na úspěch. Nasazení takového produktu samozřejmě přepokládá možnost organizace řídit šifrování, včetně nařízení zaměstnancům, jak budou šifrování používat, a také mít možnost obnovy ztracených klíčů.

Čipové karty
Čipové karty se začínají používat v bankách místo dosavadních bankovních karet a banky je také nabízejí pro uložení certifikátu užívaného v internetovém bankovnictví. Problém je ovšem v tom, že klasické stolní počítače ani notebooky nemají standardně čtečky čipových karet a je nutné používat externí čtečky, které nejsou zrovna levné. Překážkou pro rozšíření čipových karet je také pohodlí uživatelů. Nikdo s sebou nechce tahat externí čtečku čipových karet, která je relativně veliká. Tento problém se však dá vyřešit používáním USB tokenu, který je k tomu určen a respektuje standard PKCS#11. Některé tokeny mají celosvětově uznávané bezpečnostní certifikace FIPS. Jedná se například o tokeny od společností Rainbow či Aladin. Výhodou těchto tokenů je jejich velikost. Jsou relativně malé a vůbec nepřekáží, jako přívěšek na klíčích. Vzhledem k tomu, že výrobci s tímto počítali, není nutné se bát nějakého opotřebení. Při těchto rozměrech zmíněné tokeny používají stejné čipy a algoritmy jako klasické čipové karty. Důvodem, proč se tyto tokeny a chipové karty ujímají tak pomalu, je fakt, že většina dodavatelů ke svému řešení zcela nesmyslně dodává svou čipovou kartu či token a s dalším produktem dostane uživatel zase další, což je samozřejmě neakceptovatelné. Pokud má být nasazení čipových karet, či ještě lépe tokenů úspěšné, musí zmíněný autentizační předmět řešit více (nejlépe všechny) oblasti. Tak například u jednoho našeho zákazníka má uživatel jeden malý token a používá jej pro následující činnosti: · přihlášení do sítě, · autentizace do VPN, · uložení PGP klíčů, · uložení klíčů pro šifrování částí HDD, · uložení certifikátu pro MS Outlook, · uložení certifikátů pro některé weby, plánuje se certifikát pro technologii standard 802.1x.

Dle mého názoru a mých zkušeností je nutné zákazníkovi nabídnout takovéto komplexní řešení, a pak bude uživatel ochoten nosit u sebe nějaký autentizační předmět.

Skutečně nové a zatím neimplementované trendy
SecureARP (SARP)
Slabiny ARP protokolu jsou známé a bohužel hojně zneužívané. Asi nejčastěji zneužívanou slabinou je jednoduchá možnost zahlcení switche generováním velkého množství nesmyslných ARP paketů. Switch se pak začne chovat jako hub a útočníkovi již nic nebrání v odposlechu veškeré komunikace, která často probíhá nešifrovaně. Útočník pak může odposlechnout například hesla na vnitřní i vnější FTP, WWW servery či hesla do různých aplikací, kde se nepoužívá šifrovaná autentizace. Takových je bohužel stále velké množství. Tato metoda je velmi jednoduchá a není příliš sofistikovaná. Druhá nejvíce zneužívaná metoda je výrazně sofistikovanější a také účinnější. Tato metoda neútočí na switch, ale na koncové stanice. Její využití sice klade o něco vyšší nároky na technické dovednosti, ale zas má tu podstatnou výhodu, že útočník si vybere dva body v síti (typicky nějaký server a PC jednoho uživatele, jehož data chce získat) a pomocí slabiny v ARP protokolu zařídí, aby veškerý provoz mezi vybranými dvěma body procházel přes jeho počítač, a on si data ukládá a později je analyzuje a zneužije. Tato metoda je založena na faktu, že koncová stanice si uloží ARP záznam i v případě, že si ho nevyžádala. Útočník tedy posílá falešné ARP záznamy na obě stanice a ty posílají data jemu místo legitimnímu partnerovi komunikace. Útočník pak jen zařídí na svém počítači přeposílání těchto paketů na správný cíl, aby se komunikace nepřerušila. Přesto, že to na první pohled vypadá složitě, je to velmi jednoduché, zvláště přihlédneme-li k faktu, že existují step-by-step návody. SARP je návrh protokolu, který si klade za cíl nahradit ARP a odstranit některé jeho neduhy. Návrh je možné si prohlédnout na adrese www.asknet.cz/drafts/draft-sarp.txt. Authenticated Mail Transfer Protocol (AMTP) Authenticated Mail Transfer Protocol je návrh protokolu, který by případně měl nahradit lehce zneužitelný SMTP. Tento protokol si neklade za cíl zcela zamezit spamům, ale bude složitější je šířit, neboť AMTP server bude ověřovat klienta. Pokud by si spammer "rozběhl" svůj AMTP server, byl by lehce vystopovatelný a většina správců by takovýto server okamžitě zakázala. Zmíněný návrh je možné si prohlédnout na adrese www.asknet.cz/drafts/draft-amtp.html.

Autor článku, Miroslav Ludvík, je konzultantem pro otázky bezpečnosti ve společnosti AskNet
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.