Hálózati kockázatmenedzsment – mi kell egy vállalatnak?

Egy modern vállalat életében az informatikai infrastruktúra olyan nagy jelentőséggel bír, hogy már-már magát a vállalatot is azonosíthatjuk vele. A hálózatba kötött számítógépeken keresztül kapcsolódik a vállalathoz a humán erőforrás, a gépeken elhelyezett állományokban tárolódik a felhalmozott tudásanyag, technológia és know-how. A vállalatok elektronikus formában tartják nyilván az ügyfeleket, a szerződéseket és a pénzügyi műveleteket. A cégek belső hálózatán valósulnak meg a formális és informális csatornák, aminek okán itt keletkeznek a különböző formális és informális csoportok is, melyeken keresztül a vállalat tulajdonképpen működik. Nem tévedhetünk tehát nagyot, ha azt állítjuk: egy hatékonyan működő vállalat informatikai infrastruktúrájának megsemmisülésével maga a vállalat tűnne el. Látván az utóbbi időkben elszabadult támadásokat, férgeket és vírusinváziókat, ki vitatná, hogy a hálózati infrastruktúra védelme kiemelt és stratégiai fontosságú feladat?

Határvédelem
Ma már jól ismert tény, hogy az informatikai eszközök hálózatba szervezése biztonsági kockázattal jár. A kockázat mértéke függ a rendszer elemeitől, illetve attól, hogy a hálózaton keresztül kik és milyen módon érik el informatikai eszközeinket. A hálózati erőforrások használatát, logikai és fizikai védelmét Informatikai Biztonsági Szabályzatban (IBSZ) célszerű szabályozni.

A hálózatok erőforrásai elleni támadások a legtöbb esetben kívülről egy külső hálózatból érkeznek, leggyakrabban az Internet felől. Az ilyen külső támadásokat a részhálózatok kapcsolódási pontjain, illetve a teljes hálózat Internetre vezető átjáróján lehet a legegyszerűbben elfogni. Ezeken az átjárási pontokon kell elhelyezni a hálózati határvédelmi eszközöket, melyek működését az IBSZ határvédelemre vonatkozó fejezete szabályozza.

A hálózati határvédelmi eszközök célja tehát a külső támadás kockázatának elfogadható szintre csökkentése. A kockázat teljes felszámolása a gyakorlatban nem lehetséges, hiszen ehhez a kapcsolat megszakítására lenne szükség. Fontos megjegyezni, hogy a kapcsolat szó itt nem csupán a hálózati (LAN) kapcsolatot jelenti, biztosítani kell azt is, hogy adathordozón illetve modemen keresztül se történhessen ellenőrizetlen adatcsere.

Hálózati határvédelmi eszközöket – elsősorban tűzfalakat – hálózatok vagy alhálózatok kapcsolódási pontjainál alkalmaznak a vállalatok. Az országhatárokhoz hasonló határokat alakítva ki, az átkelőhelyeken pedig felügyelik a forgalmat. Jellemző tűzfalas feladat például egy vállalati hálózat internetes átjárójának ellenőrzése, vagy egy üzleti szempontból kritikus folyamatot megvalósító alrendszer leválasztása az általános feladatokat ellátó irodai hálózatról.

Tűzfalak közti különbségek
Alapvetően két féle tűzfal-technológia létezik jelenleg a piacon: csomagszűrők és proxy tűzfalak. A legtöbb esetben a vállalatok csomagszűrő tűzfalat alkalmaznak, amely költséghatékony megoldás, és elsősorban alacsony kockázati szintű környezetbe javasolt.

A csomagszűrő tűzfalak egyszerű felépítésűek, gyorsak és alacsony a fenntartási költségük. Viszont rugalmasságuk sok kívánnivalót hagy maga után, és a szándékos támadásokkal szemben tulajdonképp használhatatlanok. Ezek a tűzfalak kizárólag a csomagok címzését vizsgálják, a szolgáltatásokat egy kód (TCP/IP portszám) alapján azonosítják. Nem foglalkoznak azonban a forgalom adatrészével, az alkalmazási protokollal.

A proxy tűzfalak kapcsolatorientáltak, azaz nem pusztán csomagokat látnak, de felépülő, működő és megszűnő kapcsolatokat is. Sőt, a kapcsolatban alakuló folyamatokba is képesek belelátni. Vannak olyan proxy tűzfalak, melyek csak néhány utasítást értelmeznek, és létezik olyan is, amely az összeset képes felismerni. Ez utóbbi tulajdonság a mély protokollelemzés. Nyilván minél több utasítást és attribútumot ismer fel a tűzfal, annál élesebben tudja megkülönböztetni egymástól a történéseket, ami által kifinomultabb reakcióra képes.

A tűzfalak legújabb generációját a moduláris proxy tűzfalak jelentik, melyek speciális architektúrájuknál fogva alkalmasabbak a jelenleg elterjedőben lévő hálózati metódusok ellenőrzésére. A moduláris tűzfalak képesek az egymásba ágyazott protokollok elemzésére, mint amilyen a titkosított http (https), vagy a titkosított pop3 (pop3s). Ezenkívül, könnyedén együtt tudnak működni vírus ellenőrző modulokkal is, így szinte bármilyen adatforgalomban képesek vírust keresni.

A hálózati kapcsolat korlátozása
A határvédelmi eszközök célja, hogy a kockázat csökkentése érdekében szűkítsék azt a csatornát, ami az egymáshoz csatlakozó rendszerek közötti kapcsolatot biztosítja. A korlátozásnak az alábbi elvi fokozatai léteznek:

• Adatforgalom szűrése a feladó és a címzett alapján. Megszabjuk, hogy mely címekről fogadunk el csomagokat, illetve tőlünk mely címekre engedélyezünk kimenő forgalmat.
• Adatforgalom szűkítése a szabványos protokollokra. Sokak számára meglepő lehet, de hiába léteznek protokollok, azok betartását alap esetben egy hálózati eszköz sem ellenőrzi. Ez nagy teret enged a rosszindulatú támadóknak, hiszen sok hálózati eszközben és alkalmazásban vannak olyan biztonsági rések, amiket a protokollt sértő metódusokkal ki lehet játszani.
• A szabványos forgalom korlátozása bizonyos – a protokoll hiányosságaiból eredő – biztonsági rések betömése céljából. Ezzel kizárjuk a legkönnyebben kihasználható biztonsági rések elleni támadásokat.
• A szabványos forgalom korlátozása az üzemi működéshez szükséges legszűkebb keresztmetszetre. Amennyiben képesek vagyunk az üzleti folyamatainkat a hálózati adatforgalom szempontjából felmérni – sőt akár újraszervezni is – akkor azonosíthatjuk a használt kommunikációs metódusokat. Az ezen kívül eső, nem használt lehetőségeket pedig a megfelelő tűzfallal ki lehet tiltani a hálózatról. Ezzel a módszerrel nagyban csökkenthetjük az előre nem látható támadások kockázatát.

Vizsgáljuk meg közelebbről a fenti négy biztonsági szint által támasztott követelményeket. Nyilvánvaló, hogy egy csomagszűrővel csupán az első szintet tudjuk megvalósítani. Amennyiben egyszerűen a csomagok címzése alapján szűr a tűzfalunk, nem folytathatunk biztonságos adatforgalmat ismeretlen hálózatokkal. Sőt, a címzés könnyű hamisíthatósága miatt tulajdonképp senkivel sem.

A következő szint, melynél a nem szabványos adatforgalmat kizárjuk a hálózatunkból, már feltételezi, hogy a tűzfalunk a protokoll teljes utasításkészletét képes legyen felismerni és értelmezni. E nélkül nem tudná ugyanis megállapítani, hogy egy adat értelmezhető-e a szabvány szerint. Tehát, itt már szükségünk van egy mély protokollelemzésre alkalmas proxy tűzfalra, amivel nagyon sok ismert és még ismeretlen biztonsági rést le tudunk fedni a hálózatunk kapujában.

Amennyiben a harmadik szintet is meg akarjuk valósítani, tűzfalunkat össze kell kötni egy az ismertté vált támadási formákat leíró adatbázissal. Így biztosak lehetünk benne, hogy az adatbázis folyamatos frissítése esetén a már ismert támadások ellen immunitást élvezünk. Ezeket a rendszereket IDS-nek, magyarul behatolás érzékelőknek nevezik és célszerűen közvetlenül a tűzfal előtt vagy mögött szokás elhelyezni őket.

A negyedik szint a biztonságnak már egy új fokozatát jelenti. Szükségünk van hozzá egy olyan tűzfalra, amely nem csak ismeri a protokollok teljes utasításkészletét, de képes azokat módosítani is, valamint az általa érzékelt eseményekhez programozható válaszreakciókat definiálni. Ennek segítségével nagy szabadsággal, kompromisszumok nélkül valósíthatjuk meg a biztonsági szabályzat megfelelő rendelkezéseit.

A hálózati forgalom precíz korlátozása folytán nem kell választanunk a biztonság és a használhatóság között. Ha képesek vagyunk aprólékosan kiválogatni a normál üzleti folyamatainkhoz szükséges hálózati szolgáltatásokat, az összes többit pedig letiltani, akkor megtettük azt, amit jelenleg a technológia lehetővé tesz: a támadások kockázatát a minimumra csökkentettük.

Összegzésképp, az olyan vállalatoknak, akiknek a hálózati infrastruktúra stratégiai fontosságú, érdemes haladni a korral és a legújabb tűzfal technológiát alkalmazni. Ez pedig nem más, mint egy moduláris proxy tűzfal, mély protokollelemzési képességgel, rugalmasan konfigurálható cselekvési rendszerrel.