Žilinská univerzita v Žiline Elektrotechnická fakulta Katedra telekomunikácií. Bezpečnosť ASRVP Oddelenie technologickej siete od informačnej siete

Transcription

1 Žilinská univerzita v Žiline Elektrotechnická fakulta Katedra telekomunikácií Bezpečnosť ASRVP Oddelenie technologickej siete od informačnej siete Ján Urban 2006

2 Bezpečnosť ASRVP (automatizované systémy riadenia výrobných procesov) oddelenie technologickej siete od informačnej siete DIPLOMOVÁ PRÁCA JÁN URBAN ŽILINSKÁ UNIVERZITA V ŽILINE Elektrotechnická fakulta Katedra telekomunikácií Študijný odbor: RÁDIOKOMUNIKÁCIE Vedúci diplomovej práce: Ing. Štefan Porubčanský Stupeň kvalifikácie: Inžinier (Ing.) Dátum odovzdania diplomovej práce: ŽILINA 2006

3 ZADANIE DIPLOMOVEJ PRÁCE Meno, priezvisko: Študijný odbor: Téma diplomovej práce: Ján Urban Telekomunikácie Bezpečnosť ASRVP (automatizované systémy riadenia výrobných procesov) oddelenie technologickej siete od informačnej siete Pokyny pre vypracovanie diplomovej práce: - rozobrať problematiku bezpečnosti ASRVP z pohľadu odolnosti voči neoprávnenému prístupu a ovplyvňovaniu technologickej siete ASRVP cez pripojenú firemnú informačnú sieť, - analyzovať variantné riešenia oddelenia technologickej siete a informačnej siete, - analyzovať riešenie oddelenia sietí v projekte ROVE, - navrhnúť nastavenie technologických a programových prostriedkov sieťových prvkov v ASRVP Vedúci diplomovej práce: Ing. Štefan Porubčanský, ENERGODATA s.r.o., Žilina Dátum odovzdania diplomovej práce: Žilina prof.ing.milan Dado, PhD vedúci katedry

4 ABSTRAKT URBAN, Ján: Bezpečnosť ASRVP (automatizované systémy riadenia výrobných procesov) oddelenie technologickej siete od informačnej siete. [Diplomová práca] / Ján Urban Žilinská univerzita v Žiline. Elektrotechnická fakulta, Katedra telekomunikácií. Dátum odovzdania práce Žilinská univerzita v Žiline. KT EFŽU s 68 Diplomová práca sa zaoberá bezpečnosťou technologických vnútropodnikových sieti v oblasti informačných technológií. V úvodných kapitolách je čitateľ uvedený do danej problematiky. Témou týchto kapitol je význam bezpečnostných technológií a procesov. Jadro tvoria štyri variantné riešenia oddelenia technologickej siete a informačnej siete ASRVP a ich analýzy z pohľadu informačnej bezpečnosti. Riešenie, ktoré vyhovuje najväčšmi prísnym kritériám bezpečnosti a samotnej implementácií do projektu ROVE, je bližšie rozobraté a popísané v závere práce. Práca je doplnená návrhom konfigurácie firewallu s tromi rozhraniami, na ktorom je postavené výsledné riešenie. Kľúčové slová. Firewall, Demilitarizovaná zóna, Informačná bezpečnosť, ASRVP, Proxy server, Technologická sieť (TLAN), Informačná sieť (IIS), Netfilter

5 Žilinská univerzita v Žiline, Elektrotechnická fakulta, Katedra telekomunikácií ANOTAČNÝ ZÁZNAM - DIPLOMOVÁ PRÁCA Priezvisko, meno: Urban, Ján...školský rok:2005/ Názov práce: Bezpečnosť ASRVP (automatizované systémy riadenia výrobných procesov), Oddelenie technologickej siete od Informačnej siete... Počet strán: 68 Počet obrázkov:19 Počet tabuliek: 3 Počet grafov: 0 Počet príloh: 0 Použitá lit.: 9 Anotácia (slov. resp. český jazyk): Táto práca sa zaoberá problémom bezpečnosti vnútropodnikových sieti v oblasti informačných technológií. V úvodných kapitolách je čitateľ uvedený do danej problematiky. Témou týchto kapitol je význam bezpečnostných technológií a procesov. Jadro tvoria štyri variantné riešenia a ich analýzy z pohľadu informačnej bezpečnosti. Riešenie, ktoré vyhovuje najväčšmi prísnym kritériám bezpečnosti a samotnej implementácií do projektu ROVE, je bližšie rozobraté a popísané v závere práce. Práca je doplnená návrhom konfigurácie firewallu s tromi rozhraniami, na ktorom je postavené výsledné riešenie. Anotácia v cudzom jazyku (anglický resp. nemecký): The subject of the thesis is the solution of intranet security in Information Technologies. First chapters are introduction into importance of IT security and its processes. Four alteranative solutions and their analysis are the core of the thesis. The solution is definited with the most secure criterias in project ROVE and is described in the summary. There is also additional design of firewall configuration with three interfaces on which is proposed final solution. Kľúčové slová: Firewall, Demilitarizovaná zóna, Informačná bezpečnosť, ASRVP, Proxy server, Technologická sieť, Informačná sieť, Netfilter Vedúci práce: Ing. Porubčanský Štefan Recenzent práce : Ing. Zafka Ľuboš Dátum odovzdania práce:

6 OBSAH 0 ÚVOD 15 1 ZÁKLAD 16 2 BEZPEČNOSTNÉ ZÁSADY A REAKCIA NA UDALOSTI 17 3 PREHĽAD NAJČASTEJŠÍCH ÚTOKOV A ZNEUŽITÍ 19 4 ZÁKLADNÉ PRINCÍPY ZABEZPEČENIA FILTRÁCIA FILTRÁCIA NA ÚROVNI PROTOKOLU IP STAVOVÁ INŠPEKCIA PAKETOV PODROBNÉ RIADENIE TOKU PAKETOV V STAVOVEJ INŠPEKCII OBMEDZENIE METÓDY STAVOVEJ INŠPEKCIE PAKETOV PREKLADY SIEŤOVÝCH ADRIES (NAT) ZVÝŠENIE BEZPEČNOSTI SIETE TECHNOLÓGIA AAA AUTENTIZÁCIA AUTORIZÁCIA ÚČTOVANIE 34 5 FIREWALL FUNKCIE FIREWALLU ČINNOSŤ FIREWALLU FIREWALL V AKCIÍ IMPLEMENTÁCIA FIREWALLU STANOVENIE ZÁSAD PRICHÁDZAJÚCEHO PRÍSTUPU STANOVENIE ZÁSAD ODCHÁDZAJÚCEHO PRÍSTUPU DEMILITARIZOVANÉ ZÓNY FIREWALL NETFILTER AKO FUNGUJE IPTABLES 45 6 PROXY SERVER ČINNOSŤ PROXY SERVERA ODDELENIE SIETI BEZPEČNOSŤ RIADENIE PRÍSTUPU 48 7 ROVE 50

7 8 RIEŠENIE ANALÝZA VARIANTNÝCH RIEŠENÍ ODDELENIA TECHNOLOGICKEJ A INFORMAČNEJ SIETE IMPLEMENTÁCIA DMZ 57 9 KONFIGURÁCIA FIREWALLU ZÁVER 65 ZOZNAM POUŽITEJ LITERATÚRY 66 VYHLÁSENIE O SAMOSTATNOSTI VYPRACOVANIA DIPLOMOVEJ PRÁCE POĎAKOVANIE

8 ZOZNAM OBRÁZKOV A TABULIEK OBRÁZOK 1 MIESTA VRSTVOVÉHO ZABEZPEČENIA 23 OBRÁZOK 2 OCHRANA VNÚTORNEJ SIETE FILTRÁCIOU 25 OBRÁZOK 3 FILTRE NA SMEROVAČI SA PRIRAĎUJÚ JEDNOTLIVÝM SIEŤOVÝM ROZHRANIAM 26 OBRÁZOK 4 FILTER NA ÚROVNI PROTOKOLU IP 26 OBRÁZOK 5 ZÁHLAVIE IP DATAGRAMU 27 OBRÁZOK 6 MODEL PROTOKOLU TCP/IP 29 OBRÁZOK 7 UMIESTNENIE STAVOVEJ INŠPEKCIE PAKETOV 29 OBRÁZOK 8 POZÍCIA MECHANIZMU NAT V SIETI 32 OBRÁZOK 9 PRÁCA FIREWALLU 37 OBRÁZOK 10 ČINNOSŤ FIREWALLU 40 OBRÁZOK 11 UMIESTNENIE DEMILITARIZOVANEJ ZÓNY A JEJ VÝZNAM 44 OBRÁZOK 12 SITUÁCIA BEZ POUŽITIA PROXY SERVERA 46 OBRÁZOK 13 SITUÁCIA S POUŽITÍM PROXY SERVERA 47 OBRÁZOK 14 RIEŠENIE S VYUŽITÍM STAVOVÉHO FIREWALLU 53 OBRÁZOK 15 RIEŠENIE S VYUŽITÍM PROXY FIREWALLU 54 OBRÁZOK 16 RIEŠENIE S VYUŽITÍM STAVOVÉHO FIREWALLU A ZRKADLOVÉHO PC 55 OBRÁZOK 17 RIEŠENIE S VYUŽITÍM FIREWALLU S ROZHRANÍM PRE DMZ 56 OBRÁZOK 18 IMPLEMENTÁCIA DMZ 57 OBRÁZOK 19 BLOKOVÁ SCHÉMA ROVE UŽ S IMPLEMENTOVANÝM RIEŠENÍM 59 TABUĽKA 1 NIEKTORÉ PARAMETRE PROGRAMU IPTABLES 60 TABUĽKA 2 PRÍKLADY TABULIEK A REŤAZCOV PRAVIDIEL 60 TABUĽKA 3 PRÍKLADY OPERÁCIÍ 61

9 ZOZNAM SKRATIEK A SYMBOLOV ACL AGC/ED ASRVP ASA DDoS DoS DMZ DNS DSL FTP HIS HTTP ICMP IDS IIS IP IPS IPSec IT LAN MES NAT NetBIOS PAT POLP RADIUS ROVE SANS SCADA SPI Syslog TACACS Access Control List Automatic Generation Control, Economic Dispatch Automatizovaný systém riadenia výrobných procesov Adaptive Security Appliance Distributed Denial of Service Denial of Service Demilitarizovaná zóna Domain Name System Digital Subsribe Line File Transport Protocol Historical Information System HyperText Transport Protocol Internet Control Message Protocol Intrusion Detection System Integrated Information System - Integrovaný informačný systém Internet Protocol (Intrusion Prevention System) Internet Protocol Security Information technology Local Area Network Manufacturing Execution System Network Adress Translation Network Basic Input/Output System Port Address Translation Policy of Least Privilege Remote Authentication Dial-In User Service Riadenie obchodu a výroby elektriny SysAdmin Audit Network Security Supervisory Control and Data Acquisition Stateful Packet Inspection System Message Logging Terminal Access Controller Access Control System

10 TCP TLAN UDP VPN WWW Transmission Control Protocol Technological Local Access Network technologická prístupová sieť User Datagram Protocol Virtual Private Network World Wide Web

11 SLOVNÍK TERMÍNOV AAA (authentication, authorization and accounting) Znamená autentizácia, autorizácia a účtovanie, takže slúži k overeniu totožnosti (identity) používateľa, k zaisteniu oprávnenosti používateľa k uskutočneniu danej požiadavky a zberu informácií o prevedených transakciách. Autentizácia (overenie) Jedna z funkcií systému protokolov IPSec. Autentizácia zaisťuje integritu dátového toku a overuje, či nebol behom prenosu po sieti narušený (sfalšovaný). Zároveň sa uisťuje o pôvode dátového toku. Proces autentizácie alebo identifikácie určitého jednotlivca, či zariadenia je založený na správnej kombinácii používateľského mena a hesla; to znamená, že autentizácia nedokáže vyjadriť, aký prístup má používateľ v sieti povolený, ale len potvrdí, či je skutočne tým, za koho sa vydáva. Množinu prístupových práv definuje proces autorizácie ktorý ale má zmysel samozrejme len za predpokladu úspešnej autentizácie. Detekcia vniknutia Súčasťou detekcie vniknutia je priebežné monitorovanie sieťovej prevádzky a kontrola všetkých paketov, v ktorých sa hľadajú známky možného zneužitia alebo narušenia platných zásad (sieťových pravidiel). Sledovaná prevádzka sa porovnáva so zoznamom známych prejavov (signatúr) útoku a hľadajú sa v ňom vzorky zneužitia. Distribuovaný útok odoprenia služieb (DDoS) Typ útoku, pri ktorom napadnutý systém (server alebo smerovač) prijíma veľké množstvo paketov, ktoré vypadajú ako normálna prevádzka (ICMP, PING alebo TCP SYN). V skutočnosti ale táto prevádzka nie je normálna a obeť je ňou zahltená, takže nedokáže spracovať požiadavky právoplatných používateľov a ide teda o odoprenie služieb. Útoky odoprenia služieb, označované vo svojej základnej podobe ako DoS, bývajú v poslednej dobe vedené predovšetkým ako distribuované, keď sa pri útoku na spoločnú obeť spojí v Internete niekoľko iných, už napadnutých počítačov.

12 DMZ Rozhranie, ktoré sa doplňuje k sieťovému zariadeniu a ktoré funguje ako pásmo pre ochranu serverov a služieb, dostupných z verejného Internetu, prípadne inej vonkajšej siete (respektíve skupina hostiteľov v definovanom pásme ochrany). Filtrovanie paketov Jedna z najstarších a najrozšírenejších metód inšpekcie paketov. Funguje na princípe inšpekcie obsahu paketov a kontroly, či tento obsah vyhovuje istým kritériám podľa vopred definovaných pravidiel. Vyhovujúci paket má povolený ďalší priechod sieťou, nevyhovujúci paket sa zahodí. Firewall Sieťové zariadenie, zapojené v mieste prepojenia privátnej siete a verejného Internetu, prípadne inej siete. Slúži k ochrane sieťových počítačov pred nepriateľskými operáciami, ktoré by mohli viesť k napadnutiu interných počítačov a tým pádom k poškodeniu ich dát, alebo odopreniu služieb pre oprávnených používateľov. Firewallom môže byť vyhradené hardwarové zariadenie, alebo špecializovaný software. Honeypot (návnada) Vysoko flexibilný počítačový systém na Internete, ktorý je upravený pre úlohu bezpečnostného nástroja a je zámerne postavený takým spôsobom, aby dokázal pritiahnuť a chytiť do pasce osoby, ktoré sa pokúšajú preniknúť do cudzích systémov (pomocou skúmania, prehľadávania alebo útoku). IDS Systém detekcie vniknutia. Ide o bezpečnostnú službu, ktorá monitoruje a analyzuje udalosti v systéme, vyhľadáva medzi nimi pokusy o neoprávnený prístup k systémovým prostriedkom a v prípade potreby vydáva (takmer) okamžite varovanie. IPS Systémy, určené k čo najskoršiemu zabráneniu alebo prevencií útoku. Prevenčné systémy IPS spolupracujú s detekčnými systémami IDS. IPSec SA (bezpečnostné asociácie) Asociácie IPSec SA sú jednosmerné a musia preto byť v každom smere komunikácie zavedené samostatne. Celý proces sa skladá z dvoch fáz a troch režimov; v prvej fáze sa

13 používa hlavný režim alebo agresívny režim, vo fáze 2 potom nastupuje jediný rýchly režim. Koncový používateľ nemá na výber režimov žiadny vplyv; režimy sa vyberajú automaticky, podľa parametrov nastavených v konfigurácii oboch partnerov. Iptables Je názov user-space programu, ktorým sa celý firewall konfiguruje. Ako iptables sa tiež často označuje celý balík netfilter/iptables. Model TCP/IP Funkčný model protokolov, podobný referenčnému modelu OSI; skladá sa ale iba z piatich vrstiev. NAT Mechanizmus prideľovania IP adries, prevádzkovaný a implementovaný na určitom zariadení (firewalle, smerovači alebo počítači), ktoré je umiestnené medzi internou sieťou s privátnymi IP adresami a vonkajším Internetom s verejnými IP adresami. Prevod alebo preklad adries z privátnych na verejné zaisťuje obvykle firewall a do istej miery niekedy i smerovač. Netfilter Je názov projektu a zároveň názov celej sady kernel modulov a user-space programov umožňujúcich manipuláciu s paketmi. Odpočúvanie paketov (packet sniffer) Aplikácia, pomocou ktorej môže používateľ zachytávať všetky pakety, prechádzajúce cez určité ethernetové pripojenie (alebo cez niekoľko rôznych pripojení), a neskôr ich analyzovať a čítať ich dátovú záťaž. Ukradnutie totožnosti oprávneného používateľa je jednou z najväčších hrozieb popisovaného odpočúvania paketov. POLP (politika najmenších oprávnení) Zásada zabezpečenia sieti, podľa ktorej sa prístupové práva budujú na princípe najskôr všetko zakázať a potom povoliť len to, čo konkrétny používateľ ku svojej práci potrebuje. Tento princíp je východiskovým mechanizmom činnosti firewallu.

14 Proxy Typ firewallu, ktorý zaisťuje najväčšiu bezpečnosť dátových spojení, pretože skúma všetky vrstvy komunikačného procesu v modely TCP/IP. Pre zaistenie tejto vysokej úrovne ochrany musia uvedené firewally, označované ako proxy, fakticky aktívne vstúpiť do procesu komunikačného spojenia, spraviť jeho inšpekciu a mať ich tak pod kontrolou. Ak proxy rozhodne, že bude spojenie povolené, otvorí od seba samého druhé spojenie k vlastnému serveru (a to v mene pôvodného hostiteľa) a stáva sa tak prostredníkom (sprostredkovateľom komunikácie). Priechod cez firewall Postup alebo nástroj, s ktorým útočník odosiela špeciálne formátované pakety do firewallu a snaží sa zistiť, aké porty a aké služby majú vo firewalle povolený priechod. S týmito znalosťami už útočník môže skryť takzvané prechádzanie portov (scan) a mapovať sieť i cez firewall. Preťaženie (overloading) Typ dynamických prekladov adries NAT, ktorý prekladá väčšie množstvo privátnych IP adries do jednej verejnej IP adresy, ale s rôznymi portami TCP. Označuje sa tiež ako PAT alebo jednoadresový NAT; dokáže obslúžiť veľké množstvo používateľov naraz a z mechanizmov NAT je preto najpoužívanejší. Prístupové zoznamy (ACL) Metóda pre konfiguráciu a zavedenie paketových filtrov v smerovačoch. Existujú pritom o dva základné typy prístupových zoznamov, a štandardné a rozšírené; štandardné prístupové zoznamy robia filtrovanie len podľa IP adresy, zatiaľ čo rozšírené prístupové zoznamy môžu robiť hlbšiu analýzu hlavičky paketu. Sociálne inžinierstvo Pojem pre hackerské techniky, ktorých cieľom je pomocou vlastnej manipulácie prinútiť osoby k prezradeniu hesla či iných potenciálne citlivých informácií, ktoré vedú k narušeniu bezpečnosti cieľového systému. Stavová inšpekcia paketov (SPI) Vyspelejšia technika inšpekcie paketov, implementovaná obvykle vo firewalle a slúžiaca k podrobnejšej kontrole spojenia TCP/IP.

15 syslog Prostriedok pre oznamovanie rôznych informácií o stave systému a procesov v ňom bežiacich. Existujú tri typy (triedy) údajov o stave systému, a síce chybové, informačné a ladiace informácie. Systém Cisco IOS ponúka rozsiahle možnosti práce so systémovými správami a oznamovaním chýb; pre rozdelenie dát o stave systému do kategórii, ktoré definujú spracovanie správ o chybách a udalostiach, používa viac ako 500 identifikátorov služieb, označovaných ako prostriedky (facilities). Takto zaznamenané protokoly sú dôležitým zdrojom informácií pre diagnostiku problémov a u množiny firewallových funkcií tiež pre oznamovanie udalostí. Šifrovanie Metóda zaistenia bezpečnosti dát, ktoré sa prevádzajú do pozmenenej podoby pomocou kľúča (hesla). Heslo sa do konfiguračného súboru ukladá tiež v šifrovanej, teda nečitateľnej podoby. VPN (virtuálna privátna sieť) Sieť, používaná pre pripojenie vzdialených pracovísk do centra, napríklad do sídla vedenia firmy, a to prostredníctvom verejnej siete, ako je Internet. Pri prenose po verejnom Internete sú dáta chránené pomocou mechanizmov šifrovania; ďalšie ochranné mechanizmy dovoľujú pripojenie do siete VPN len oprávneným používateľom a zariadením. Vrstvová bezpečnosť Princíp návrhu sieti, pri ktorom zabezpečenie implementované v celej sieti pokiaľ možno na čo najviac miest jednotným, konzistentným spôsobom. Vytvára sa tak jediné obranné miesto, ktoré zaisťuje ochranu proti slabým miestam siete.

16 0 ÚVOD Rýchly vývoj informačných technológií so sebou prináša aj určité riziká. Bezpečnosť informačných systémov predstavuje v súčasnosti komplexný systém technických a organizačných opatrení. Predstavuje kompromis medzi otvorenosťou dnešných informačných systémov a ich ochranou pred napadnutím prípadne zneužitím citlivých dát organizácie. Závažným zistením zostáva, že vlastní zamestnanci organizácie predstavujú veľký problém z pohľadu informačnej bezpečnosti a dopúšťajú sa veľkého počtu bezpečnostných incidentov. Taktiež všeobecne nízke bezpečnostné povedomie predstavuje stále hlavnú prekážku v presadzovaní informačnej bezpečnosti. Takmer vo všetkých organizáciách je primárnym cieľom informačná bezpečnosť. Ale iba polovica z nich venuje informačnej bezpečnosti dostatočnú pozornosť vo forme zavedenia bezpečnostnej politiky, či vybudovania pracovísk analýzy a manažmentu rizík IT. Je potrebné chrániť sieť nielen zvonku, ale i vo vnútri. Pokiaľ je vo firme alebo v organizácií niekoľko sieti, v ktorých sa hromadia dáta s rôznym stupňom citlivosti voči zneužitiu, je nutné tieto siete od seba bezpečne oddeliť. A umožniť prístup právoplatným používateľom iba k informáciám, ktoré potrebujú k svojej práci. Cieľom tejto diplomovej práce je navrhnúť niekoľko spôsobov bezpečného oddelenia dvoch vnútropodnikových sietí, s rozdielnym stupňom dôvernosti informácií v nich sa nachádzajúcich. Každé riešenie analyzovať z hľadiska informačnej bezpečnosti. Z nich najvhodnejšie riešenie implementovať do projektu ROVE a navrhnúť vhodnú konfiguráciu sieťových prvkov požitých vo vybranom riešení. 15

17 1 ZÁKLAD Samotný fakt, že je privátna sieť pripojená k Internetu alebo k inej sieti naznačuje, že sa môže stať cieľom útoku. To znamená, že vnútornú sieť je potrebné pred útočníkmi chrániť. Je prirodzené myslieť si, že pokiaľ sieť disponuje najnovšou bezpečnostnou technológiu pre ochranu siete, neustále sa zaisťuje aktualizáciu s najnovšími ochranami, v sieti je firewall, tieňový smerovač, sieť VPN, antivírusový program, proxy server, biometrické smerovače atď. môže to sieť pred prienikom ochrániť. V tom prípade, ale rozumieme slovu bezpečnosť iba čiastočne, pretože sme zabudli na najslabší článok reťazca: ľudský faktor. Je potrebné, aby zamestnanci firiem mali dostatočné vzdelanie v oblasti bezpečnosti. To nám však nezaručí, že i takto školený ľudia nemajú záujem podvodne vylákať nejaké dôležité a potenciálne citlivé informácie. Preto bezpečnosť je často iba ilúziou, ktorej vierohodnosť napomáha hlavne naivita a nevedomosť pracovníkov danej organizácie. Bezpečnostným produktom nesmieme slepo veriť; v opačnom prípade sa necháme oklamať ilúziou bezpečnosti. Skutočná bezpečnosť sa nedá kúpiť v nejakom jednom produkte; je to celá rada procesov, do ktorých sú okrem produktov zapojení aj zamestnanci organizácie. 16

18 2 BEZPEČNOSTNÉ ZÁSADY A REAKCIE NA UDALOSTI Mať jasne stanovené zásady bezpečnosti alebo bezpečnostnú politiku je prvým krokom pri zabezpečení a ochrane siete. Tieto zásady určujú, ako by sa mali správne chovať popoužívatelia vo firemnej sieti. Zásady zabezpečenia sú teda do značnej miery podrobené rôznym pravidlám a zákonným normám, ktorými sa riadime v našom každodennom živote. Zásady zabezpečenia stanovujú, aké chovanie ja a nie je vo vnútri siete prípustné. Zmysel zásad môžeme charakterizovať ďalšími vlastnosťami: Zásady zabezpečenia určujú očakávané postupy. Definujú vhodné chovanie v sieti. Sledujú konsenzus ohľadne prevádzky vo firme. Predstavujú základ pre prípadný postih zo strany osobného oddelenia za neprípustné chovanie. Definujú úlohy jednotlivých skupín pri zabezpečení firmy a ich povinnosti. Napomáhajú pri zahájení trestného či právneho postihu prípadne neprípustného chovania. Popisujú definície základných pojmov a myšlienok pri zabezpečení siete. Vymedzujú nástroje pre zabezpečenie siete a finančné prostriedky pre ich zaistenie. Pokiaľ už sú stanovené zásady zabezpečenia siete, je z nich každému používateľovi jasné, kto je za čo zodpovedný, a aké zásady a procesy platia pre jednotlivé firemné oddelenia. Bezpečnostným zásadám je venovaný zvláštny projekt SANS Security Policy Project ( ten definuje celú radu bezpečnostných zásad. Každý zo zamestnancov daného oddelenia či firmy musí nielenže poznať obsah príslušných zásad, ale predovšetkým sa nimi tiež riadiť. Zásady bezpečnosti majú skutočne vplyv na všetky skupiny používateľov v organizácií. Bežný používateľ. Na obyčajného používateľa, ktorý pristupuje k sieťovým prostriedkom, majú stanovené zásady najväčší vplyv. 17

19 Tímy vo vedení firmy. Táto skupina má najväčší záujem na ochrane podnikových prostriedkov a dát, pričom je pre ňu zároveň dôležité, za akú cenu budú tieto opatrenia uskutočnené. Účtovné a privátne oddelenie, investori. Zodpovednosť firmy pri ochrane svojich vlastných aktivít je závislá na popisovaných zásadách (bezpečnostnej politike); každý z tejto skupiny si musí uvedomiť, aký pozitívny dopad majú prijaté zásady. Tímy pre vedenie bezpečnosti. Úloha tejto skupiny je definovaná v samotných zásadách a jej úlohou je zaisťovanie platnosti zásad zabezpečenia. 18

20 3 PREHĽAD NAJČASTEJŠÍCH ÚTOKOV A ZNEUŽITÍ Typy útokov, po ktorých siahajú útočníci najčastejšie. Zoznam v žiadnom prípade nemožno považovať za úplný či uzavretý, pretože nové útoky pribúdajú každým dňom. Odoprenie služieb (DoS). Pri tomto útoku sa hacker snaží dostať systém obete do poruchového stavu, v ktorom odopiera bežné služby ostatným, i právoplatným používateľom. Existuje celá rada možností ako takýto stav vyvolať, napr. zaplavenie obete množstvom žiadostí o pripojenie. Distribuované odoprenie služieb (DDoS). Tento typ operácie útočí na vyhliadnutú obeť z väčšieho množstva rôznych napadnutých systémov. Útok so záplavou paketov SYN. V rámci tohto útoku sa sieť zahltí paketmi SYN, ktoré normálne znamenajú zahájenie požiadavky o spojenie; výsledkom je také využitie procesoru, pamäti a sieťového rozhrania, že systém už nemôže obsluhovať právoplatné požiadavky spojení a vzniká odoprenie služieb (DoS). Útok so záplavou paketov UDP. Tento útok je podobný záplave ICMP a opäť znamená zasielanie paketov v takom množstve, že sa cieľový systém výrazne spomalí a nedokáže spracovávať platné spojenia. Typickým zástupcom je záplava paketov na porte 53, ktorý obsluhuje službu DNS. Prehľadávanie portov. Útok s prehľadávaním portov znamená vysielanie paketov s rôznymi číslami portov a jeho cieľom je nájdenie dostupných služieb (k možnému zneužitiu). Smrteľný ping. Špecifikácia protokolov TCP/IP určuje pre prenos datagramu istú presnú veľkosť paketu. Mnohé implementácie protokolu ping umožňujú používateľovi podľa potreby i zadanie inej, väčšej veľkosti paketu. Výrazne nadmerný paket ICMP môže pritom v systéme vyvolať množstvo najrôznejších nežiaducich reakcií, ako je odoprenie služieb, havária systému, jeho zablokovanie či reštart. Falšovanie IP adries. Pri tomto útoku sa útočník pokúša obísť bezpečnostnú kontrolu firewallu tak, že napodobňuje IP adresu, ovú adresu alebo používateľské ID platného klienta. To je pre používateľa dôležité predovšetkým pri zneužití vzťahu dôvery medzi počítačmi, ktoré v sieťach bývajú často definované; ich výhodou je jednotné prihlásenie do celej siete. 19

21 Pozemný útok. Kombinácia útoku so záplavou paketov SYN a falšovania IP adresy; útočník zasiela do cieľovej siete sfalšované pakety SYN, ktorých zdrojovú i cieľovú IP adresu tvorí skutočná IP adresa obeti. Prijímajúci systém na tieto pakety reaguje odosielaním paketu SYN-ACK sebe samému a vytvorí tak prázdne spojenie, ktoré zostáva otvorené až do vypršania časového limitu. Záplava prázdnych spojení môže systém celkom zahltiť a dostať ho tak do stavu odoprenia služieb (DoS). Tear drop. Tento útok zneužíva mechanizmus rekonštrukcie alebo opätovného zostavenia fragmentovaných paketov IP. Jedným s údajov hlavičky IP je totiž offset (relatívna adresa); pokiaľ sa súčet offsetu a veľkosti jedného fragmentovaného paketu príliš líši od rovnakého súčtu v ďalšom fragmentovanom pakete, znamená to, že sa oba pakety prekrývajú a server môže pri pokuse i ich rekonštrukciu zhavarovať. Prehľadávanie s pripomienkou ping. Podobne ako prehľadávanie portov; útočník pri tejto operácii zasiela požiadavky opakovania echo ICMP alebo ping, a to na rôzne cieľové adresy. Pritom sleduje, či mu nejaký z cieľov odpovie a on sa tak dozvie IP adresu potenciálnej obete. Súbory Java/ActiveX/ZIP/EXE. Do tejto kategórie spadajú rôzne zlomyseľné javové applety alebo komponenty ActiveX, skryté vo webových stránkach. Po stiahnutí na počítač sa nainštalujú ako trójsky kôň. Tieto trójske kone môžu byť skryté tiež v rôznych komprimovaných súboroch typu.zip,.gzip a.tar, alebo v spustiteľných súboroch.exe. Vhodným nastavením bezpečnostných mechanizmov je možné všetky javové applety a objekty ActiveX vo webových stránkach zablokovať a rovnako tak neprepúšťať ani prílohy typu.zip,.gzip,.tar,.exe v elektronickej pošte. Útok WinNuke. Výraz WinNuke označuje hackerskou aplikáciu, ktorej jedinou úlohou je priviesť k havárii akýkoľvek počítač s Windows, pripojený do Internetu. Aplikácia WinNuke odosiela do hostiteľského systému s nadviazaným spojením dáta mimo platný rozsah (obvykle na port NetBIOS s číslom 139) a vyvolá prekrytie fragmentov NetBIOS, ktoré u mnohých počítačov vedie k havárii. To je ďalším dôvodom, prečo je ideálne vstup i výstup komunikácie NetBIOS z vlastnej siete zakázať. Hrubá sila. U tejto metódy sa útočník pokúša uhádnuť heslá do systému pomocou primitívnych technik, ako je opakované prihlasovanie pod určitý účet s výrazmi prevzatými zo slovníka možných hesiel. 20

22 Zdrojové smerovanie. Mechanizmus zdrojového smerovania je variantom hlavičky paketu IP, v ktorých samotný zdroj definuje spôsob smerovania paketov. Na mnohých firewalloch je zdrojové smerovanie povolené, čo ale vedie k obchádzaniu pravidiel a tým pádom i k nelegálnemu vstupu do siete. Smerovacie informácie v hlavičkách IP môžu napríklad obsahovať inú zdrojovú IP adresu, než samotný zdroj v hlavičke; pakety sa tak odošlú iným smerom. Smerovanie paketov ICMP je možné ovládať niekoľkými ďalšími spôsobmi: o Záznam cesty. Útočník odosiela pakety s voľbou IP 7 (Record Route, záznam cesty). Zaznamenanou cestou tvorí postupnosť internetových adries, analýzou ktorých môže vonkajší pozorovateľ zistiť zaujímavé informácie o schéme adresovania a topológii vnútornej siete. o Voľné zdrojové smerovanie. Útočník odosiela pakety voľbou IP 3 (Loose source routing). To znamená, že zdroj paketu môže určiť smerovanie, podľa ktorého sa bude paket odosielať do cieľa cez jednotlivé brány. Každá z brán a hostiteľov môže ale odoslať paket na ďalšiu adresu v požadovanej ceste cez ľubovoľný počet brán; preto sa hovorí o voľnom zdrojovom smerovaní. o Striktné zdrojové smerovanie. Útočník odosiela pakety s voľbou IP 9 (Strict source routing). Zdroj paketu v takom prípade určí presné smerovanie paketu do cieľa. Každá z brán s hostiteľov musí ale odoslať datagram na ďalšiu adresu v požadovanej ceste priamo a iba cez priamo pripojenú sieť; preto sa hovorí o striktnom zdrojovom smerovaní. Záplava paketov ICMP. Tento útok znamená, že pripomienky ICMP alebo ping preťažia cieľový systém takým množstvom požiadaviek na opakovanie (echo), že systém celkom vyčerpá svoje prostriedky na odpovede a nemôže spracovať normálnu, platnú prevádzku. Odpočúvanie paketov. Technika odpočúvania predstavuje pasívnu metódu útoku, pri ktorej sa karta sieťového rozhrania prepne do špeciálneho režimu, označovaného ako promiskuitný. Pokiaľ sa útočníkovi podarí dostať do lokálnej siete LAN nástroj pre odpočúvanie, znamená to, že už došlo k veľmi vážnemu narušeniu bezpečnosti. A pretože útočník vidí väčšinu paketov v sieti LAN, je sieť vo veľkom ohrození. Sociálne inžinierstvo: Jedna veľmi úspešná metóda získavania dôverných informácií, ktorá však nemá nič spoločné s technikou, internetom alebo nejakým programátorským umením. Ide skôr 21

23 o nejakú správnu formu psychologického nátlaku, odborne sa tomu hovorí sociálne inžinierstvo. Takáto krádež pomocou sociálneho inžinierstva je podstatne jednoduchšia ako obísť firewall. Ľudia si v princípe jeden druhému veria a pomáhajú si, a preto sú voči sociálnemu inžinierstvu značne zraniteľní; boj proti tomuto základnému riziku je jedným z najväčších problémov spojených s bezpečnosťou. 22

24 4 ZÁKLADNÉ PRINCÍPY ZABEZPEČENIA Najskôr sa zmienim o niektorých dôležitých pojmoch: Vrstvová bezpečnosť. Je potrebné uvedomiť si, že jedno obranné miesto proti útoku nestačí. Ako vidíme na obrázku 1 za dobre navrhnutú sieť môžeme považovať len takú sieť, ktorej zabezpečenie je implementované konzistentne vo všetkých častiach. Obrázok 1 Miesta vrstvového zabezpečenia Riadenie prístupu. Je potrebné určiť, kto bude mať povolený prístup do siete. Jedným z najdôležitejších odporúčaných postupov je, vychádzať pri hocakých rozhodnutiach o prístupe zo zásady: všetko zablokovať, a potom výslovne povoliť len to, čo tento človek potrebuje ku svojej práci. Hovoríme o zásade či politike najmenších oprávnení (POLP), ktorá okrem iného tvorí núdzový režim chovania firewallu. 23

25 Zabezpečenie podľa konkrétnej úlohy. Pri rozhodovaní o prístupe a oprávneniach je vhodné vychádzať z úlohy daného používateľa v organizácii. Vývojár webových stránok potrebuje napríklad do webového serveru spoločnosti zjavne právo úplného prístupu, zatiaľ čo administratívni pracovníci evidentne nie. Uvedomenie používateľov. Školenie používateľov a posilnenie ich vedomostí v otázkach bezpečnosti je taktiež veľmi dôležité; iba tak pochopia jej význam a budú spolupracovať a podporovať zásady bezpečnosti. Monitorovanie. Jednou z najčastejšie zabúdaných stránok bezpečnosti je monitorovanie či sledovanie. Mnohé organizácie sa domnievajú, že si skrátka stačí raz sieť zabezpečiť a hotovo. To ale nie je pravda; každý musí systémy priebežne monitorovať a overovať, či sú stále bezpečné a odolné voči útokom. Ako jednu z metód monitorovania by som uviedol detekčné systémy IDS. Na tento systém nemôžme zabudnúť pri návrhu zabezpečenia siete. Obranný tím. Obranný tím je vhodné určiť si vopred a jeho činnosť vyskúšať cvične; určite nie je vhodné dávať ho dokopy už v priebehu extrémneho útoku. Činnosť tímu je preto potrebné navrhnúť ihneď, vyskúšať si ho a časom odstrániť i tie drobné chyby. 4.1 FILTRÁCIA Filtráciou rozumieme kontrolu prechádzajúcich paketov aktívnym prvkom siete na základe jeho obsahu a následné rozhodnutie, či môže byť paket poslaný ďalej alebo nie. Filter nemení obsah dátových paketov (čo neplatí u niektorých druhoch ochrany ako je napr. NAT). Filtrácia sa môže prevádzať na rôznych úrovniach: Na linkovej vrstve, ktorá sa spravidla prevádza na prepínačoch (switch). Môžu ju však do istej miery využívať i niektoré firewally. Filtrácia protokolov IP a TCP, ktorú možno prevádzať na smerovačoch, ale taktiež ju používajú niektoré firewally. Filtrácia aplikačných protokolov pri filtrácií na aplikačnej úrovni už mnohokrát dochádza ku zmene prenášaných paketov, v okamžiku, keď je realizovaná proxy alebo bránou. Existujú však i firewally, ktoré uskutočňujú čistú filtráciu na aplikačnej vrstve (nepoužívajú proxy či bránu), ale zasa 24

26 filtráciu kombinujú s NAT, ktorý prepisuje záhlavie IP - datagramov či TCP segmentov. V prípade, že sa uskutočňuje filtrácia na úrovni linkového protokolu, príslušný filter musí vedieť pracovať s linkovým záhlavím, pretože sa filtruje na základe informácií uvedených v linkovom záhlaví každého prenášaného linkového rámca. V prípade filtrácie na úrovni protokolu IP musí zasa filter vedieť pracovať so záhlavím IP datagramu, v prípade filtrácie na úrovni protokolu TCP zasa filter musí vedieť pracovať so záhlavím TCP segmentu. Iná je situácia u aplikačných protokolov, ktoré sa často neskladajú zo záhlavia a prenášaných dát. V takom prípade musí filter ovládať celý aplikačný protokol a filtrovať všetky aplikačné dáta. Filtráciu na prepínači lokálnej siete je možno zaistiť tak, aby prepínač kontroloval, že za daným rozhraním prepínača je iba vo filtri uvedená linková adresa. T.j. aby nebolo možné, že si útočník prinesie svoj počítač, ktorý zapojí do zásuvky lokálneho rozvodu namiesto zapojeného počítača a začne útočiť. Obrázok 2 Ochrana vnútornej siete filtráciou Cieľom filtrácie je vytvoriť polopriepustný filter, ktorý umožňuje vlastným zamestnancom prístup do Internetu, ale zamedzuje prístup cudzím používateľom do vnútornej siete. Na obrázku 2 je šípkami znázornený cieľ filtrácie: umožniť prístup z vnútornej siete do Internetu a zamedziť útokom z Internetu na zdroje na vnútornej sieti. Na obrázku šípky nevyjadrujú prenos dát, ale iba smer prístupu. Prenos dát je vždy obojsmerný. Klient posiela do Internetu dátové pakety s požiadavkami na získanie informácií z Internetu a späť z Internetu chce získať dáta. Smerovač môže mať viac sieťových rozhraní, takže prechod IP datagramov môže byť medzi všetkými rozhraniami. Pokiaľ je to technicky možné, priraďujú sa filtre 25

27 jednotlivým rozhraniam. Na obrázku 3 je rozhraniu Ethernet1 priradený filter Filter 1, rozhraniu Serial1 je priradený Filter 4 atď. Ethernet 1 Filter 1 Serial 1 Ethernet 2 Filter 3 Smerovač Filter 2 Filter 4 Smerovač Obrázok 3 Filtre na smerovači sa priraďujú jednotlivým sieťovým rozhraniam FILTRÁCIA NA ÚROVNI PROTOKOLU IP Filtrácia sa realizuje filtrom, ktorý sa vkladá medzi sieť, ktorú chceme chrániť, a Internet. Internet Filter IP IP Linková Linková Fyzická Fyzická smerovač vnútorná sieť Obrázok 4 Filter na úrovni protokolu IP Filter je spravidla jednou z funkcií prístupového smerovača. Smerovač smeruje IP datagram iba na základe informácií uvedených v záhlaví IP datagramu. Smerovač by nikdy nemal pracovať s inými informáciami, okrem tých ktoré sú uvedené v IP záhlaví. 26

28 Filtrácia iba na základe informácie zo záhlavia IP datagramu však nestačia a smerovač filter potrebuje pracovať i s informáciami zo záhlavia TCP segmentu či UDP datagramu. A to existujú i filtre pracujúce s aplikačnými informáciami. Filtrovaciu funkciu najčastejšie zaisťujú smerovače, kde ju treba iba správne nastaviť. Môže sa však objaviť i na firewalloch a serveroch Verzia IP Dĺžka Typ služby Celková dĺžka IP datagramu 4 bity záhlavia 8 bitov 16 bitov Identifikácia IP datagramu Príznaky Posunutie fragmentu od začiatku 16 bitov (flags) (fragment offset) 13 bitov Doba života Protokol vyššej Kontrolný súč et z IP záhlavia (checksum) datagramu vrstvy 16 bitov (T TL) 8 bitov 8 bitov IP adresa odosielateľa (source IP-adress) 32 bitov IP adresa príjemcu (destination IP-adress) 32 bitov Voliteľné položky záhlavia Prenášané dáta (nepovinné) Obrázok 5 Záhlavie IP- datagramu Filtrovať na úrovni protokolu IP možno iba na základe údajov, ktoré sú v záhlaví IP datagramu (obrázok 5) Filtrácia prebieha najčastejšie na základe IP adresy odosielateľa a príjemcu. Princíp filtra (obrázok 4) spočíva v tom, že na rozdiel od správne nastaveného smerovača sa filter rozhoduje na základe informácií z IP datagramu na jeho IP - záhlaví a prípadne i zo záhlavia TCP (resp. UDP) paketu, či takýto paket do príslušného rozhrania pošle alebo či ho zahodí. Filter sa rozhoduje na základe obsahu záhlaví IP datagramu. Samotná filtrácia na úrovni IP protokolu často nestačí, ale v spojení s filtráciou na úrovni protokolu TCP sa účinnosť filtrácie zvyšuje. Pri tvorbe filtrov sú teoreticky možné dve varianty. Buď sa všetko implicitne povolí a dopisujú sa pravidlá špecifikujúce, ktoré počítače kam nesmú. Alebo naopak sa 27

29 implicitne všetko zakáže a a iba sa explicitne niečo povolí. Z bezpečnostných dôvodov sa väčšinou využíva druhý variant. Filtrácia na smerovačoch: Štandardné filtre filtrujúce iba na základe IP adresy odosielateľa. Rozšírené filtre filtrujúce na základe IP adresy odosielateľa a IP adresy príjemcu. Rozšírené filtre vedia filtrovať i na základe informácií z TCP záhlavia. Dynamické filtre umožňujúce otvoriť špecifikovaný priechod smerovačom používateľom, ktorý sa smerovaču autorizoval. Praktické využitie tohto filtra je obmedzené skôr na správcu systému, pretože používateľ sa najskôr musí autorizovať. To však asi nie je pre bežných používateľov príliš jednoduché. Reflexívne filtre ktoré sledujú reláciu vyššieho protokolu (TCP resp. UDP) a povoľujú smerom von zriadiť reláciu a smerom do vnútra prepúšťajú iba pakety patriace k tejto relácií. 4.2 STAVOVÁ INŠPEKCIA PAKETOV Na obrázku 6 v je znázornených päť vrstiev modelu TCP/IP. Stavová inšpekcia pracuje pritom so spojením vo štvrtej prenosovej vrstve (teda v protokole TCP), ktorá mimo iného sleduje i stav spojenia TCP. Stavová inšpekcia pracuje vo väčšine prípadov na firewalle, ktorý je pri ceste z Internetu do vnútornej siete umiestnený za smerovačom. Pokiaľ je v smerovači implementované filtrovanie paketov ako prvá obranná línia, bude stavová inšpekcia vo firewalle tvoriť druhú obrannú líniu, ako vidíme na obrázku 7. Toto umiestnenie je v súlade s princípom vrstvovej bezpečnosti; vzniká tu ďalšia úroveň ochrany proti útokom a celkovo dostávame plne zabezpečenú sieť. 28

30 5 Aplikačná vrstva 4 Transportná vrstva: Transmission Control Protocol (TCP) User Datagram Protocol (UDP) 3 Sieťová vrstva - Internet Protocol (IP) Zakázané Povolené Prevádzka je filtrovaná podľa stanovených pravidiel pre reláciu, napríklad pri zahájení relácie platným počítačom. Neznáma prevádzka je povolená len do úrovne štvrtej vrstvy modelu protokolov. 2 Vrstva dátových spojov 1 Fyzická vrstva Prichádzajúca prevádzka Povolená odchádzajúca prevádzka Obrázok 6 Model protokolu TCP/IP Stavová inšpekcia je väčšinou implementovaná vo firewalle, kde môže prebiehať bližšia kontrola spojenia TCP/IP. Táto technológia je preto orientovaná na spojenie, pretože monitoruje spojenie medzi dvoma počítačmi a uvedomuje si, že sa toto spojenie skladá z prenosu mnohých paketov. Obrázok 7 Umiestnenie stavovej inšpekcie paketov 29

31 Mechanizmus stavovej inšpekcie sa spustí ihneď s prvými paketmi, ktoré zahajujú komunikáciu v spojení; pri inšpekcii spojenia sa v tabuľke vytvorí záznam a ďalšie pakety sa prepustia len vtedy, pokiaľ patria k už povolenému, existujúcemu spojeniu PODROBNÉ RIADENIE TOKU PAKETOV V STAVOVEJ INŠPEKCII V tomto podrobnom výklade stavovej inšpekcie sa berie do úvahy, že je na vstupe do siete umiestnený externý smerovač, ktorý podľa svojej konfigurácie uskutočňuje predbežnú kontrolu pokusov o spojenie pomocou mechanizmov filtrovania paketov. Ak paket touto prvou kontrolou a filtrovaním paketov prejde, dostane sa na firewall, kde po príchode podlieha ďalšiemu spracovaniu: 1. Po príchode paketu sa firewall musí rozhodnúť, či povolí jeho ďalší priechod do internej siete. 2. Zariadenie, ktoré uskutočňuje stavovú inšpekciu, zoberie každý prichádzajúci paket a podľa údajov v hlavičke skontroluje, či zodpovedá množine pravidiel definujúcich povolenú prevádzku. 3. Pri inšpekcií hlavičky paketov sa kontroluje zdrojová a cieľová adresa, typ protokolu (TCP, UDP, ICMP atď.), zdrojový a cieľový port, nastavené príznaky (SYN, ACK, FIN, RST atď.), prípadne ďalšie základné informácie v hlavičke. Prichádzajúce pakety sa kontrolujú tak dlho, pokiaľ sa nenazbiera dostatok informácií pre určenie stavu spojenia. 4. Tieto údaje z inšpekcie sa porovnajú pomocou množiny pravidiel, ktorá určuje povolenú a zakázanú prevádzku. V týchto pravidlách je napríklad možné povoliť do webového servera iba prevádzku HTTP, zatiaľ čo iná prevádzka sa bude zamietať. To je celkom bežný postup k určitým serverom býva povolený len určitý typ prístupu. 5. Podľa stavu spojenia sa ďalej informácie z už uskutočnenej inšpekcie porovnajú s údajmi stavovej tabuľky, ktorá obsahuje záznam pre každé už povolené spojenie TCP/IP. Väčšina zariadení umožňuje napríklad ktorémukoľvek používateľovi vnútornej siete prístup k ľubovoľným zdrojom vo vonkajšej sieti; každé takéto spojenie potom vytvorí záznam do stavovej tabuľky. Ďalej sa už nepovoľuje priechod paketov, ktoré zodpovedajú stavovej množine pravidiel, ale priechod paketov, ktoré sú súčasťou platného nadviazaného spojenia. 30

32 6. Nakoniec sa pakety podľa výsledkov uvedenej inšpekcie povolia alebo zamietnu. Nad pravidlami či tabuľkou sa robí len jediná pripomienka, a preto ani zložité inšpekčné pravidlá neznamenajú výrazné spomalenie systému. Pravidla stavovej inšpekcie paketov sú zložitejšie, a preto nie je ich zostavenie tak ľahké ako u pravidiel pre filtrovanie paketov. Implementácia zabezpečuje siete o úroveň vyššie. Stavová inšpekcia je zároveň dosť rýchla a dokáže spracovať i veľké objemy sieťovej prevádzky. Pokiaľ sa zaznamená metrika daného spojenia nezhoduje s hodnotou zapísanou v databáze (tabuľke) spojení. Potom sa spojenie preruší OBMEDZENIE METÓDY STAVOVEJ INŠPEKCIE PAKETOV Zariadenie so stavovou inšpekciou paketov už oproti obyčajnému filtrovaniu paketov ponúkajú vyššiu škálovateľnosť a ďalšie výhody. Napriek tomu ale nie sú konečným riešením ochrany siete. Dve najdôležitejšie nevýhody tejto techniky: Chybná inšpekcia na aplikačnej úrovni. Stavová inšpekcia paketov nedokáže kontrolovať pakety na vyšších vrstvách referenčného modelu OSI, ako je vrstva 4. Presne takto dokážu v praxi vniknúť útočníci k serverom, ktoré sú istým spôsobom dostupné a sú chránené iba firewallom so stavovou inšpekciou. Chybný stav spojenia pre každý protokol TCP/IP. Isté protokoly nemajú žiadnu metódu pre sledovanie stavu spojenia medzi počítačmi. Konkrétne sa jedná o protokoly ICMP a UDP, u ktorých stav spojenia chýba; vo vrstvovom modely tak uvedené protokoly musia podliehať aspoň bežnému filtrovaniu paketov (pretože sledovanie stavu a tým pádom ani stavovú inšpekciu u nich nemožno upraviť). 4.3 PREKLADY SIEŤOVÝCH ADRIES (NAT) Preklady sieťových adries NAT zavádzame a používame na vhodnom zariadení (firewalle, smerovači alebo počítači), umiestnenom medzi vnútornou sieťou s privátnymi IP adresami a medzi vonkajším Internetom s verejnými IP adresami. Spomínané zariadenie uskutočňuje takzvané prevody alebo preklady adries z privátnych na verejné; obvykle je to firewall a v menšej miere to môže byť smerovač. Jedna jeho strana býva 31

33 pripojená k vnútornej sieti, druhá potom k Internetu alebo inej vonkajšej sieti. Umiestnenie mechanizmu NAT v rámci vrstvovej obrany dokresľuje obrázok 8. Obrázok 8 Pozícia mechanizmu NAT v sieti Mechanizmus prekladu adries NAT predstavuje tiež ďalšiu úroveň zabezpečenia siete. Samotný NAT má niekoľko rôznych podôb a môže pracovať v troch základných režimoch činnosti: Statický NAT. Definuje jednoznačné mapovanie alebo zobrazenie privátnych IP adries na verejné. To je užitočné hlavne u zariadení, ktoré musia byť dostupné z verejného Internetu (z vonkajšej siete). Pokiaľ má napríklad webový server takúto vnútornú IP adresu ( ) a má byť dostupný z Internetu, musíme definovať statický preklad NAT, ktorý zaistí trvalý a jednoznačný prevod používateľských požiadaviek z verejnej adresy webového servera na jeho vnútornú adresu Práve pre zariadenia dostupné z vonkajšej siete, ako sú webové servery, sú statické preklady NAT sú dosť bežné. Dynamický NAT. Tento režim zaisťuje mapovanie privátnych IP adries na verejnú IP adresu, vybranú zo skupiny registrovaných adries. A pri tomto type prekladu NAT je medzi privátnymi a verejnými IP adresami jednoznačné zobrazenie; ak má počítač privátnu IP adresu a iný počítač v tej istej sieti dostaneme pri komunikácií s verejným Internetom pridelené od firewallu dve rôzne verejné IP adresy (tie môžu byť pri každej komunikácií iné). Dynamický NAT je nepochybne užitočný, ale na niektoré situácie nestačí; môže sa napríklad stať, že keď firewall všetky verejné IP adresy vyčerpal našu komunikáciu následne zamietne. To môže byť vážny problém; preto bol vyvinutý takzvaný preťažený NAT. Preťažený NAT. Ide o špeciálny typ dynamického NAT, ktorý prekladá väčšiu skupinu IP adries na jedinú verejnú IP adresu, pričom ich rozlišuje pomocou rôznych 32

34 portov TCP. Uvedený mechanizmus sa označuje taktiež ako preklad portov PAT, prípadne jednoadresový NAT. Pre jedinú IP adresu je k dispozícií viac než portov TCP, a preto PAT umožňuje efektívny prístup k Internetu veľkému množstvu používateľov s privátnymi IP adresami. Tento posledný typ preklad NAT sa používa najčastejšie, pretože dokáže naraz obslúžiť najväčšie množstvo používateľov ZVÝŠENIE BEZPEČNOSTI SIETE Vývoj prekladového mechanizmu NAT bol vedený predovšetkým snahou o vyriešenie problému s nedostatkom verejných adries IPv4. NAT poskytuje ďalšiu vrstvu zabezpečenia a ochrany siete; obecne sa dá povedať, že NAT útočníkovi veľmi výrazne sťažuje: Mapovanie štruktúry cieľovej siete a zisťovanie informácií o konektivite Zistenie počtu prevádzkovaných systémov v sieti Zistenie typu prevádzkovaných počítačov a ich operačných systémov Vedenie rôznych útokov s odoprením služieb (DoS), ako sú napríklad záplavy synchronizačných paketov SYN, prehľadávanie portov a vnášanie paketov 4.4 TECHNOLÓGIA AAA Sieť musíme chrániť pred zneužitím. Nezáleží pri tom, či sme administrátor, manažér, študent alebo konštruktér siete. Pri prístupe k určitým službám cez počítačovú sieť je potrebné mať vždy tri veci: Autentizácia (overenie totožnosti) Autorizácia (stanovenie oprávnení) Účtovanie (zber informácií) Tieto komponenty sa spoločne označujú skratkou AAA (authentication, authorization and accounting). Každá z nich má v bezpečnosti siete veľmi dôležitú úlohu AUTENTIZÁCIA Úlohou autentizácie je zaistiť, že daný používateľ siete je skutočne tým, za koho sa vydáva. To je dôležité, pretože neoprávneným osobám samozrejme prístup k sieti nie je povolený. Autentizáciu zaisťuje obvykle zdieľaná (spoločná) tajná informácia alebo dôveryhodná softwarová aplikácia od iného výrobcu. 33

35 Pomocou autentizácie môže sieťový administrátor tiež ľahko zistiť, kto sa prihlásil k sieťovému zariadeniu, či do Internetu, pretože každý musí zadať svoje používateľské meno a heslo. Pri vzdialenom pripojení k smerovaču prostredníctvom služby Telnet zadáva používateľ len heslo do samotného smerovača; toto riešenie je síce funkčné, ale rozhodne nie je bezpečné, pretože pokiaľ je smerovač pripojený k Internetu môže sa o pripojenie pokúšať tiež útočník a často to ani nie je vidieť. Tomuto útočníkovi stačí totiž uhádnuť jediné heslo. S autentizáciou AAA musí každý používateľ pri prihlásení zadať platné meno a heslo pridelené od sieťového administrátora AUTORIZÁCIA S mechanizmom autentizácie súvisí tiež autorizácia, ktorá nastupuje po jej úspešnom dokončení. U autentizovaného používateľa musíme totiž rozhodnúť, či má oprávnenie k uskutočňovaniu požadovaných operácií. Autorizáciu zaisťujú prístupové zoznamy (ACL) alebo zásady (politiky). Pomocou autorizácie tak administrátor kontroluje úroveň prístupu, ktorú má používateľ po úspešnom prihlásení (získaní prístupu) ku smerovaču. Systém Cisco IOS Software pozná určité úrovne prístupu alebo úrovne oprávnenia (privilégií), ktoré používateľovi vymedzujú množinu povolených príkazov; používateľ s úrovňou oprávnenia 0 nemôže zadávať žiadne príkazy systému Cisco IOS, zatiaľ čo používateľ s úrovňou 15 môže zadávať úplne všetky platné príkazy. Jednotlivé úrovne oprávnenia môže prideľovať miestny (lokálny) alebo vzdialený server zabezpečenia ÚČTOVANIE Procesy účtovania nastupujú až po úspešnom dokončení autentizácie a autorizácie daného používateľa. Administrátor pomocou nich zhromažďuje informácie o používateľoch, prihlásených k sieťovým zariadeniam, a o nimi povolených operáciách. Tieto informácie potom môžu okrem iného slúžiť i ako právoplatný dôkaz falšovania, odpočúvania či nabúrania siete, pretože dostávame jasnú mapu časových okamihov vstupu používateľov a ich činnosti. Konkrétne sa tak administrátor dozvie, kedy sa ktorý používateľ prihlásil ku ktorému smerovaču, ktoré príkazy systému IOS v ňom zadával a koľko bajtov svojej relácie preniesol. Vďaka účtovaniu môže administrátor sledovať 34

36 i zmeny konfigurácie smerovačov. Zistené účtovné informácie sa zhromaždia priamo v smerovači alebo vo vzdialenom servery zabezpečenia. Po konfigurácií mechanizmov AAA môže neoprávnenom prístupe k sieti brániť vhodný externý server zabezpečenia, ktorý pracuje nad externým bezpečnostným protokolom, ako je RADIUS alebo TACACS. 35

37 5 FIREWALL Firewall je špeciálne bezpečnostné zariadenie, ktoré je umiestnené na hrane internetového pripojenia alebo na rozhraní dvoch sieti. To znamená, že neustále sleduje celú premávku, ktorá vstupuje a vystupuje cez toto pripojenie. Jeho úlohou je neustále strážiť bezpečnosť zapojených prostriedkov vnútornej siete. Vďaka Internetu majú jednotlivý používatelia k dispozícií také množstvo informácii, že po rokoch prevádzky už pripojenie k sieti nie je pre osoby a firmy len výhodou, ale doslova nevyhnutnosťou. Pokiaľ však nejaké informácie vystavíme do prostredia Internetu, môžu sa i kriticky dôležité a dôverné údaje ocitnúť v ohrození zaútočiť na ne môže ktokoľvek a odkiaľkoľvek. Firewally dokážu síce počítače jednotlivcov i firemnej siete pred zákernými útokmi s prostredia Internetu chrániť, ale len za podmienky, že správne porozumieme mechanizmom ich činnosti. Firewall slúži k nepretržitej službe. Má veľmi dôležitú úlohu zabrániť vstupu hackerov a naopak právoplatným používateľom prístup k informáciám, ktoré potrebujú. Správna konfigurácia firewallu nie je nič jednoduché. Nesprávne konfigurovaný alebo nedostatočne vybavený firewall môže byť v niektorých prípadoch dokonca horší, ako by sme nemali žiadny. 5.1 FUNKCIE FIREWALLU Firewall kontroluje sieťovú prevádzku, ktorá vstupuje do niektorého z jeho rozhraní, a aplikuje na ňu takzvané pravidlá na základe nich potom danú prevádzku povolí, alebo zamietne. Ako vidíme na obrázku 9, firewall prevádza filtrovanie prichádzajúcej i odchádzajúcej prevádzky. Rovnako ako prístupové zoznamy (ACL) môžu firewally filtrovať sieťovú prevádzku podľa zdrojovej a cieľovej IP adresy, podľa protokolu, a ďalej podľa stavu spojenia. Inými slovami, vstup prevádzky FTP cez firewall do vnútornej siete normálne povoľovať nebudeme, ale pokiaľ určitú komunikačnú reláciu FTP zahájil (dôveryhodný) používateľ vnútornej siete, potom ju povolíme bola nadviazaná z vnútra siete. Implicitne potom firewall dôveruje všetkým spojeniam z dôveryhodnej vnútornej siete do verejnej vonkajšej siete (Internetu). 36

38 Obrázok 9 Práca firewallu Firewall môže taktiež do svojich protokolov zaznamenávať pokusy o spojenie, ktoré sa zhodujú s istými pravidlami a ktoré v sieti vedú k vyvolaniu výstrahy. A nakoniec firewall umožňuje taktiež preklady sieťových adries (NAT) z vnútorných privátnych IP adries na verejné IP adresy. 5.2 ČINNOSŤ FIREWALLU Väčšina firewallov vykonáva stavovú inšpekciu paketov (SPI), ktorá sleduje všetky odchádzajúce pakety a podľa potreby na ne reaguje. Ak však firewall sleduje, na akých hostiteľských systémoch vnútornej siete vznikajú odchádzajúce pakety, bráni tým vstupu zlomyseľných a nevyžiadaných paketov siete WAN do externého rozhrania. Dvojitá povinnosť pri práci s paketmi ich inšpekcia a filtrovanie je jednou z najdôležitejších činností firewallu. Uvediem najbežnejšie pravidlá činnosti firewallov a ich funkcie: Blokovanie prichádzajúcej sieťovej prevádzky podľa jej zdroja alebo cieľa. Zablokovanie nežiaducej prichádzajúcej prevádzky je najbežnejšia funkcia firewallu 37

39 a je koniec koncov hlavným dôvodom jeho inštalácie zabrániť vstupu nežiaducej prevádzky do vnútornej siete. Takáto prevádzka obvykle pochádza od útočníkov, takže ju budeme chcieť rýchlo vykázať. Blokovanie odchádzajúcej sieťovej prevádzky podľa jej zdroja alebo cieľa. Celá rada firewallov dokáže sledovať taktiež sieťovú prevádzku v smere z vnútornej siete do verejného Internetu; takto môžeme napríklad zamestnancom vlastnej firmy zabrániť v prístupe k nevhodným webovým stránkam. Blokovanie sieťovej prevádzky podľa obsahu. Vyspelejšie firewally sledujú v sieťovej prevádzke taktiež neprípustný obsah. S firewallom môže byť integrovaný antivírusový program, ktorý zabraňuje vírusom vo vstupe do vnútornej siete; iné firewally sú integrované s ovými službami, monitorujú a blokujú priechod nežiaducej elektronickej pošty. Sprístupnenie zdrojov vnútornej siete. Primárnou úlohou firewallu je síce zabrániť v priechode nežiaducej sieťovej prevádzky, u väčšiny z nich však môžeme taktiež nakonfigurovať selektívne povolenie prístupu k zdrojom (prostriedkom) vnútornej siete, ako je napríklad verejný webový server, ostatné typy prístupov z Internetu do vnútornej siete ponecháme zakázané. V množstve prípadov je možné tieto funkcie zaistiť pomocou takzvanej demilitarizovanej zóny (DMZ), do nej umiestnime mimo iného i spomínaný webový server. Povolenie niektorých spojení do vnútornej siete. Zamestnanci sa do podnikovej siete bežne pripájajú taktiež prostredníctvom virtuálnej privátnej siete VPN. Tieto siete umožňujú bezpečné pripojenie z Internetu, napríklad pre domácich pracovníkov a pre obchodných cestujúcich v teréne alebo pre vzájomné spojenie vzdialených pobočiek firmy. Niektoré firewally priamo obsahujú funkcie VPN a uľahčujú tak zavedenie popísaných spojení. Oznamovanie priebehu sieťovej prevádzky a činnosti firewallu. Pri monitorovaní sieťovej prevádzky do a z Internetu je taktiež dôležité vedieť, čo všetko firewall robí, kto sa pokúša nabúrať do vnútornej siete, a kto sa pokúša na Internete pristupovať k nevhodnému materiálu. Väčšina firewallov obsahuje preto určitú formu mechanizmov pre oznamovanie; dobrý firewall taktiež všetky aktivity zaznamenáva do servera syslog alebo do iného záznamového zariadenia. Skúmanie systémových protokolov firewallov po uskutočnenom útoku je jedným z dôležitých nástrojov, ktoré máme k dispozícii. 38

40 5.3 FIREWALL V AKCII Je potrebné poznamenať, že mnohé firewally majú skutočne zapojené iba dve sieťové rozhrania, z ktorých takmer všetky sú ethernetového typu. Tieto dve rozhrania sa označujú ako inside (vnútorná, chránená sieť) a outside (vonkajšia, nechránená sieť) a uvedenými slovami ich popisujeme vo vzťahu k našej vlastnej sieti. Prakticky vzaté je tak vonkajšie rozhranie pripojené k Internetu, zatiaľ čo vnútorné rozhranie je zapojené do internej firemnej siete ako je to i na obrázku 10: 1. Hostiteľ A, trebárs je to notebook, otvorí webový prehliadač a požaduje zobrazenie webovej stránky zo serveru Hostiteľ A odošle preto odchádzajúcu požiadavku cez firewall. 2. Firewall zistí, že prijatá požiadavka pochádza od Hostiteľa A, a že smeruje na server Túto odchádzajúcu požiadavku si firewall zaznamená a ďalej bude očakávať, že odpovede budú pochádzať len z webového serveru Do tabuľky stavu relácií sa vo firewalle zapíše značka, podľa ktorej bude od začiatku až do konca prebiehať sledovanie celého komunikačného procesu. Spolu zo značkou, ktorú si firewall zaznamenal pre túto konverzáciu, sa zapíše tiež metrika spojenia. 3. Teraz z webového servera príde cez firewall odpoveď pre Hostiteľa A. 4. Firewall sa pozrie do tabuľky stavu relácií a skontroluje, či sa tu zapísaná metrika zhoduje s odchádzajúcim spojením. Pokiaľ sa všetky uložené informácie o spojení zhodujú s priatou odpoveďou povolí firewall priechod prichádzajúcej prevádzky. 39

41 Obrázok 10 Činnosť firewallu Pokiaľ si firewall udržuje kontext stavu prichádzajúceho a odchádzajúceho spojenia, nepodarí sa hackerovi tak ľahko dostať do siete pomocou sfalšovaného paketu; Ak však hacker skúsi poslať do siete nejaké pakety a firewall zistí, že k ním nemá zapísané žiadne informácie o stave spojenia (alebo že sa tieto informácie nezhodujú), reláciu okamžite ukončí a spravidla tiež zaznamená do protokolu. Mnohé firewally overujú platnosť paketov iba podľa ich zdrojovej IP adresy. Túto zdrojovú adresu môže ale útočník pomerne ľahko sfalšovať a viesť tak útok s falšovaním komunikácie IP. Pokiaľ sa firewall bude na základe zdrojovej adresy domnievať, že pakety pochádzajú od dôveryhodného hostiteľa, môže ich pomerne ľahko pustiť do vnútornej siete samozrejme iba pokiaľ im nestoja v ceste ďalšie pravidlá. Firewally od firmy Cisco prideľujú prevádzaným reláciám dynamické číslo pomocou adaptívneho bezpečnostného algoritmu ASA, takže únos alebo krádež relácie je pre útočníkov ešte zložitejší. 5.4 IMPLEMENTÁCIA FIREWALLU Pri návrhu firewallového riešenia chceme čo najskôr, vedieť aké bude mať firewall povinnosti. Konkrétni typ inštalovaného firewallu skutočne závisí na presných požiadavkách ochrany a správy siete a samozrejme taktiež na veľkosti siete či iného chráneného systému. Firewally sa obvykle rozdeľujú do niekoľkých kategórií: 40

42 Osobný firewall. Tento typ firewallu má obvykle podobu špeciálneho softwaru, ktorý chráni jediný osobný počítač (PC); naň sa taktiež inštaluje. S osobnými firewallmi sa najčastejšie stretávame na domácich počítačoch so širokopásmovým pripojením k internetu, prípadne u vzdialených zamestnancov. Inštalácia takéhoto firewallu na počítač je každopádne rozumná vec; niektoré známe osobné firewally nájdeme na adresách: Na potrebu zabezpečenia jednotlivých počítačov reagovali taktiež výrobcovia operačných systémov, ako je Apple a Microsoft, a integrovali osobné firewally do systémov. Systém OS X (Panther) od firmy Apple má zabudovaný IP Firewall a podobné funkcie nájdeme i vo Windows XP. Integrovaný firewall. S týmito firewallmi pracujú najčastejšie používatelia (účastníci) širokopásmových prípojok káblových alebo DSL. K sieti sú pripojení pomocou jediného zariadenia, ktoré súčasne plní funkcie smerovača, ethernetového prepínača, bezdrôtového prístupového bodu a firewallu. Káblové modemy ponúkajú trvalé (vždy zapnuté), veľmi rýchle pripojenie k Internetu cez bežné rozvody káblovej televízie. Okrem bežného televízneho prijímača tak ku káblu pripojíme i káblový modem a dostávame vysokorýchlostný Internet. Podobné funkcie zaisťujú tiež linky DSL, ktoré na miesto káblovej televízie pracujú nad klasickou telefónnou linkou. Firewally pre malé až stredné firmy. Tieto firewally zaisťujú bezpečnosť a ochranu menších sieti; príkladom sú produkty Cisco PIX 501 a 506. Firewally podnikovej úrovne. Vyššia trieda firewallov, napríklad Cisco PIX 515. Sú určené pre veľké organizácie s tisíckami jednotlivých účastníkov; majú preto bohatšiu množinu funkcií i možností typicky majú tiež viac pamäte a viac sieťových rozhraní. Na všetkých firewalloch Cisco beží tá istá verzia operačného systému a všetky majú rovnaké funkcie pre správu a pre oznamovanie (zasielanie správ), bez ohľadu na konkrétny model. Väčšie, lepšie vybavené modely sú obvykle potrebné iba pre obsluhu veľkého počtu súčasne prebiehajúcich spojení a pre náročnejšie aplikácie. 41

43 Normálne firewall inštalujeme do miesta, kde je vnútorná sieť pripojená k Internetu. Vo veľkých organizáciách sa firewally často zapájajú tiež medzi rôzne časti vnútornej siete, ktoré potrebujú rôznu úroveň ochrany, ale väčšina firewallov skutočne monitoruje iba prevádzku medzi vnútornou sieťou a Internetom. Pokiaľ napríklad nejaká veľká firma povoľuje obchodným partnerom priamy vstup do vnútornej siete, býva tento prístup spravidla kontrolovaný pomocou firewallu. Takéto umiestnenie vnútorného firewallu je rozhodne veľmi rozumné. Pokiaľ sa zvolí akýkoľvek typ firewallu, je potrebné definovať príslušné pravidlá, ktoré budú realizovať stanovené zásady zabezpečenia siete. 5.5 STANOVENIE ZÁSAD PRICHÁDZAJÚCEHO PRÍSTUPU Pri priechode firewallom podlieha sieťová prevádzka pravidlám, ktoré sú vo firewalloch definované. Takmer všetky siete používajú vo vnútri privátne IP adresy, a preto sa dá očakávať, že takmer na každom firewalle pracujú tiež preklady sieťových adries NAT. Cieľovou adresou paketov, ktoré prichádzajú z Internetu ako odpoveď na požiadavku odoslanú z lokálneho počítača, ja adresa vonkajšieho rozhrania firewallu. Takýto firewall potom obvykle prevádza preklady adries NAT a sleduje stav každej požiadavky vnútorného používateľa a vďaka prekladom NAT alokuje nad vonkajším rozhraním dynamicky čísla portov. To je tiež podstata prekladov NAT umožniť viacerým používateľom využívať verejnú IP adresu a smerovanie ich požiadaviek cez verejný Internet. Pokiaľ sa vnútorné adresy prevádzajú na jedinú verejnú IP adresu s rôznymi číslami portov, hovoríme o prekladoch adries portov PAT. Popisované zmeny portov prebiehajú pomerne rýchlo, takže útočník nemá príliš veľkú šancu uhádnuť platné číslo. Pokiaľ by celá prevádzka z lokálnej siete LAN smerovala do verejného Internetu, boli by zásady prichádzajúceho prístupu veľmi jednoduché: firewall by povoľoval prichádzajúcu prevádzku iba v odpovedi na požiadavky hostiteľov z vnútornej siete LAN, pričom odchádzajúce požiadavky by sledoval v stavovej tabuľke. Raz však príde požiadavka zo strany vonkajšej siete, ktorá sa musí vo firewalle kontrolovaným spôsobom prepustiť. Povoliť priamy prístup z Internetu (alebo vonkajšej siete) cez firewall je dosť riskantné, aj keď zároveň celkom bežné. Kľúčom k bezpečnosti je v týchto implementáciách presné definovanie typu povolenej prevádzky určíme ju podľa čísla portu. Povoliť komunikáciu IP s ľubovoľným miestom vnútornej siete je 42

44 určite nežiaduce. Na druhej strane je ale rozumné povoliť prevádzku internetového protokolu HTTP (port 80) do webového serveru alebo len zasielanie webových požiadaviek do webového servera. Nad protokolom HTTP a portom 80 pracuje množstvo útokov a je tu celá rada zraniteľných miest; pretože sa táto prevádzka povolila, zbavil sa firewall možnosti ich detekovať. Veľmi rozumný postup je preto doplniť ďalšie vrstvy bezpečnosti, a to v podobe osobného firewallu, detekčného systému IDS a antivírového softwaru. Pred vlastnou implementáciou je tiež potrebné skontrolovať, či zásady zabezpečenia obsahujú skutočne tie najrozumnejšie postupy, a skontrolovať jasné kroky pre udržiavanie bezpečnosti. 5.6 STANOVENIE ZÁSAD ODCHÁDZAJÚCEHO PRÍSTUPU Každý firewall sleduje sieťovú prevádzku, ktorá prichádza do firewallu (respektíve do ním chránenej siete), ale naozaj dobre implementovaný a navrhnutý firewall sleduje taktiež odchádzajúcu prevádzku. Tu možno spomenúť proxy servery a ich možnosti sledovania a riedenia prevádzky na výstupe zo siete. Tieto proxy servery sú vynikajúcim príkladom zariadenia, ktoré definuje zásady odchádzajúceho prístupu. Taktiež je potrebné sledovať a kontrolovať odchádzajúcu prevádzku z našej siete do siete partnerov na firewalle, umiestnenom medzi našou sieťou a sieťou partnerov. Niekedy je tiež vhodné vo firewalle kontrolovať, aké IP adresy majú povolený odchod zo siete; výstup zo siete tak konkrétne môžeme povoliť iba tým IP adresám, ktoré sa vo vnútornej sieti skutočne nachádzajú takto zabránime falšovaniu IP adries. Používateľom vnútornej siete budeme často tiež potrebovať zakázať prístup do určitých miest Internetu; druhá možnosť je stanoviť naopak miesta, ktoré sú vyslovene povolené s tým, že komunikácia do ostatných cieľov je implicitne zakázaná. 5.7 DEMILITARIZOVANÉ ZÓNY (DMZ) Pripojovaním webových, poštových a FTP serverov k verejnému Internetu môže byť nebezpečné a niekedy celkom nevhodné. Pokiaľ má firma samostatný verejný web, prevádzkovaný spoločne s poštovými servermi, môže sa do siete zapojiť firewall s dvoma 43

45 základnými rozhraniami (vnútorné a vonkajšie) a vytvoriť v ňom prekladové pravidlá, ktoré presmerujú prichádzajúcu prevádzku do správnych serverov vnútornej, privátnej siete. Toto riešenie sa môže zdať celkom neškodné, ale pokiaľ sa takéto riešenie dostane do rúk šikovného hackera, stane sa z neho doslova katastrofa. Preto sa vytvorilo nové rozhranie, ktoré sa nazýva demilitarizovaná zóna. Tretie rozhranie v štandardnom firewalle celú situáciu uľahčuje, a tiež zvyšuje bezpečnosť prevádzky serverov a služieb dostupných z Internetu (ako je WWW, atď.). Priame odosielanie prevádzky z Internetu do vnútornej, privátnej siete je zásadná chyba. Demilitarizovaná zóna je rozhranie, umiestnené medzi dôveryhodným segmentom siete (firemná sieť) a nedôveryhodným segmentom siete (Internetom); tým obe siete fyzicky izoluje a prepojuje ich iba pomocou množiny istých pravidiel, definovaných vo firewalle. Toto fyzické oddelenie demilitarizovanej zóny je veľmi dôležité, pretože z Internetu je takto možné pristupovať len k serverom DMZ, nie však do vnútornej siete. Celá štruktúra siete je zobrazená na obrázku 11. Obrázok 11 Umiestnenie demilitarizovanej zóny a jej význam Na obrázku 11 je v segmente demilitarizovanej zóny umiestnený poštový, webový a FTP server. Podľa pravidiel, platných pre rozhranie DMZ, nesmie sieťová prevádzka z Internetu vstupovať za segment pripojený k rozhraniu DMZ. 44

46 Najväčšou výhodou demilitarizovanej zóny je izolácia všetkých neznámych požiadaviek z Internetu do zvláštnych serverov v zóne; to znamená, že táto potenciálne nebezpečná prevádzka sa už nedostane do našej vnútornej siete. Prevádzka firewallu s rozhraním DMZ má ale ešte ďalšie výhody je lepšie vidieť, čo všetko sa v sieti deje, a tým pádom ju dostávame pod bezpečnejšiu kontrolu: Audit prevádzky v demilitarizovanej zóne Umiestnenie detekčného systému IDS (Intrusion Detection System) v DMZ Obmedzenie aktualizácií smerovania medzi troma rozhraniami Umiestnenie názvového serveru DNS v zóne DMZ 5.8 FIREWALL "NETFILTER" Netfilter je softwarový firewall implementovaný priamo v jadre Linuxu. Netfilter je názov projektu a zároveň názov celej sady kernel modulov a user-space programov umožňujúcich manipuláciu s paketmi. Iptables je názov user-space programu, ktorým sa celý firewall konfiguruje. Ako iptables sa tiež často označuje celý balík netfilter/iptables AKO FUNGUJE IPTABLES Riadenie toku paketov prebieha v sieťovej vrstve na úrovni jadra. V jadre sú uložené tabuľky (tables) filter, nat, mangle a raw. Každá tabuľka obsahuje reťazce pravidiel (chains), ktoré sú buď preddefinované, alebo používateľom definované. Preddefinované reťazce má každá tabuľka svoje (napr. INPUT, OUTPUT, FORWARD v tabuľke filter, PREROUTING, OUTPUT, POSTROUTING v tabuľke nat). Okrem nich si používateľ môže definovať svoje vlastné reťazce pravidiel, ktoré môže volať z preddefinovaných podobne ako subrutinu v programe. Každý reťazec obsahuje zoznam pravidiel (rules), ktoré určujú, čo sa bude s paketmi robiť. Každý paket, ktorý chce byť odoslaný alebo prijatý z/na sieťové rozhranie počítača, musí prejsť cez proces overovania v príslušnej tabuľke a reťazci pravidiel. Pravidlá sa vyberajú sekvenčne v poradí, v akom sa nachádzajú v tabuľke. Ak paket vyhovie nejakému pravidlu, ďalej sa nepokračuje a vykoná sa definovaná operácia (target), napr. prijatie/zahodenie paketu. Ak paket nevyhovie žiadnemu pravidlu v reťazci, vykoná sa implicitná operácia, ktorú má každý reťazec definovanú (policy). 45

47 6 PROXY SERVER Proxy server je špeciálny typ servera - prostredníka v komunikácii, ktorý sa umiestňuje medzi klienta a servery, s ktorými komunikuje. Proxy server sa tvári voči klientovi ako server a voči serveru ako klient. Výhodou je, že proxy server pozná požiadavku klienta a vie mu doručiť odpoveď, aj keď klient samotný nemôže alebo nevie (kvôli obmedzeniam alebo parametrom siete) priamo komunikovať so vzdialeným serverom. 6.1 ČINNOSŤ PROXY SERVERA 1. klient sa spojí s proxy serverom namiesto toho, aby kontaktoval vzdialený server 2. proxy server prevezme požiadavku klienta, ktorá obsahuje adresu vzdialeného servera, s ktorým chce klient komunikovať 3. proxy server sa stane klientom, spojí sa so vzdialeným serverom a odovzdá mu požiadavku od svojho klienta 4. vzdialený server odpovie 5. proxy server prevezme odpoveď od vzdialeného servera a doručí ju svojmu klientovi Je výhodné, ak je proces nastavenia klienta pre prácu s proxy serverom pokiaľ možno jednoduchý (v praxi sa nastavuje typ proxy servera, jeho adresa a port, na ktorom pracuje). Existuje dokonca riešenie, pri ktorom sa na strane klienta nenastavuje vôbec nič a všetky požiadavky idú automaticky cez proxy server. Takéto riešenie sa volá "transparentný proxy server" Obrázok 12 Situácia bez použitia proxy servera 46

48 Obrázok 13 Situácia s použitím proxy servera Keďže proxy server pozná klienta, od ktorého prišla požiadavka, môže riadiť prístup k informáciám. Navyše, za určitých okolností (pre isté služby) môže získanú odpoveď nejako spracovať, napríklad si ju zapamätať (cache). Ak dostane tú istú požiadavku od ďalšieho klienta, môže mu poskytnúť odpoveď oveľa rýchlejšie. Toto sa využíva najmä pri cachovaní obsahu WWW stránok. Rozlišujeme dva druhy proxy serverov: 1. Aplikačné proxy servery: sú navrhnuté iba pre vybrané sieťové služby, ako napr. http, https, ftp. Výhodou je, že nastavovanie klienta nie je zložité, stačí uviesť adresu proxy servera a jeho port. 2. SOCKS proxy servery: fungujú pre ľubovoľné služby (TCP) za predpokladu, že aplikácia podporuje tento typ proxy servera (musí byť špeciálne upravená). Existujú najmä tieto tri dôvody, prečo nasadiť proxy server v praxi: 6.2 ODDELENIE SIETÍ - BEZPEČNOSŤ Lokálne siete používajú často privátne adresy (napr / ), takže počítače nemôžu komunikovať priamo s Internetom. Používa sa buď preklad adries na firewalle (Network Address Translation - NAT), alebo riešenie pomocou proxy servera. Klient používa proxy server na svojej vlastnej privátnej sieti (má privátnu IP adresu) a ten komunikuje (najčastejšie pomocou iného sieťového pripojenia) s Internetom. Výhodou použitia proxy servera z hľadiska bezpečnosti teda je: 1. možno ho použiť na prístup k (určitým službám) Internetu aj v prípade, že klienti používajú privátne adresy (netreba použiť NAT) 2. možno ho použiť iba na prístup k tým službám, ktoré podporuje proxy server 47

49 3. klient sa pripája na proxy server a nie priamo na server - takže nekomunikuje priamo s vonkajšou sieťou, čím sa dosahuje vyššia bezpečnosť, lebo nemožno zneužiť prebiehajúce spojenie na útok smerujúci zo servera na klienta. Prirodzene, riešenie má aj svoje nevýhody: 1. možno ho použiť iba na prístup k tým službám, ktoré podporuje proxy server (toto je výhoda aj nevýhoda zároveň, podľa toho, z akého uhla sa na vec pozeráte) 2. ak používate aplikačný proxy server, spracovanie aplikačnej vrstvy modelu OSI, do komunikácie vnáša isté spomalenie. Treba poznamenať, že pre niektoré siete je použitie prístupu pomocou proxy servera jedinou možnosťou prístupu na Internet. Neskôr bude analyzovaný aj problém riadenia prístupu. Odporúčania: Ak sa použije proxy server, vzdialený server nekomunikuje priamo s klientom, takže nemôže proti nemu podniknúť útok, môže však zneužiť spojenie so samotným proxy serverom. Tento treba preto čo najlepšie zabezpečiť (pomocou firewallu): proxy server nepotrebuje prijímať spojenia z vonkajšej siete, ale iba odpovede na už vytvorené spojenia (stavový filter v IPTABLES: ESTABLISHED). proxy server sa nepotrebuje pripájať do vnútornej siete! Posiela iba odpovede na už vytvorené spojenia (stavový filter v IPTABLES: ESTABLISHED). proxy server by mal počúvať iba na portoch, ktoré sú nevyhnutné pre správnu prevádzku služby. 6.3 RIADENIE PRÍSTUPU Ak sa zabezpečí, že všetky klientske počítače vo vnútornej sieti budú používať proxy server (pod Windows 9x sa to dá dosiahnuť iba pomocou zásahov do Registrov), stane sa jediným "úzkym hrdlom" komunikácie medzi klientom a serverom. Vznikne tak miesto v sieti, kde môžete pomocou pravidiel regulovať prístup k Internetu. Výhody použitia proxy servera: 1. možnosť nasadenia a vynucovania bezpečnostnej politiky z hľadiska prístupu k Internetu - napr. k určitým WWW stránkam 48

50 2. jednoduché nastavenie bez nutnosti nastavovať politiky na všetkých klientoch Nevýhody: 1. výkon proxy servera má vplyv na rýchlosť prevádzky (čas odozvy na požiadavku) 2. vzniká rizikové miesto na sieti ("single point of failure") - v prípade výpadku proxy servera sa nemožno dostať na Internet. 49

51 7 ROVE Je to vytvorenie nástrojov pre novú organizáciu komplexného rozhodovania a riadenia elektrárenskej spoločnosti s optimalizáciou nasadzovania zdrojov, o umiestňovaní produkcie výrobných kapacít, zabezpečovaní podporných služieb, obchodovaní na tuzemskom aj zahraničných trhoch a obchodovaní s podpornými službami. Technicky predstavuje projekt ROVE riadiaci a technologický informačný systém s komplexnou podporou najmodernejších IT technológií a riadenie výroby a bilancovanie zdrojov v reálnom čase, vrátane diaľkového riadenia výrobní a zabezpečenia ponuky podporných služieb (regulačné funkcie, zálohy a pod.). Hlavné systémy sú: SCADA zber a spracovanie dát v reálnom čase, dispečerské riadenie a výmena dát s inými časťami výrobnej časti ROVE a spolupracujúcimi systémami. Monitorovanie stavov a výkonov zdrojov, komunikácia s terminálmi výrobní (ASDR) a automatizovaným systémom riadenia výrobných procesov výrobní (ASRVP). HIS historický informačný systém pre dlhodobé archívne ukladanie a vyhľadávanie prevádzkových informácií. AGC/ED riadenie prevádzky jednotlivých generátorov, rozdeľovanie výroby silovej elektriny a poskytovanie podporných služieb. Sumárna hodnota požadovaného výkonu sa prerozdeľuje medzi jednotlivé generátory, využívajú sa signály SCADA. Rozdeľovanie výroby (ED) umožní, že ekonomické a prevádzkové parametre jednotlivých blokov budú udržované na optimalizovanej hodnote, ktorá umožní minimalizáciu nákladov. Využijú sa výsledky z merania spotrebných charakteristík. ROVE VD plánovanie, príprava a hodnotenie prevádzky bude obsahovať plánovanie odstávok, pohotových výkonov, technické parametre jednotlivých generátorov, výstupom bude ponuka dodávok silovej elektriny a podporných služieb vo väzbe na podklady z modulu ROVE OD. ROVE OD, t. z. obchodná časť, bude obsahovať databázy zmlúv, dodávateľov a odberateľov, vytvárať sumárne diagramy pre obchodovanie na liberalizovanom trhu potrebné pre činnosť traiding flore, ktoré budú ďalej podkladom pre prípravu prevádzky v module ROVE VD. 50

52 MES umožní sprístupnenie údajov ROVE širšiemu okruhu používateľov v technologickej sieti SE t. z. informácie z reálneho času (SCADA), informácie z ASRVP výrobní aj informácie z procesu obchodovania na liberalizovanom trhu. Vybudovanie systémov bilancovania výroby (hodnotenie výrobných nákladov a spotreby paliva) v reálnom čase na platforme MES a postupovanie výsledkov ďalším odborným útvarom SE. Testovací systém a výcvikový simulátor pre potreby testovania nových aplikačných funkcií, školení a výcviku personálu. Záložné dispečerské pracovisko pre stav núdze v prípade, že by bolo potrebné evakuovať budovu. LAN ROVE oddelená dátová sieť reálneho času od iných systémov, ktorá umožní bezpečný prenos prevádzkových a obchodných informácií. INTERNET je väzbou na vonkajšie databázy (Zúčtovateľ odchýlok, Burza, OKO, dispečingy obchodných partnerov, meteorológia, ekológia). ASRVP zabezpečuje zber a spracovanie údajov o prevádzkových a technických stavoch výrobných a pomocných zariadení v reálnom čase. Budú použité jednak pre bilančné výpočty, ale aj pre aktuálne informácie pre rozhodovanie v dispečerskom riadení a ponuku pre ďalšie obchodné príležitosti. Projekt je podporovaný súbežnými akciami: AZZD - automatizovaný zber dát, telekomunikácie a dátové prenosy, vybudovanie záložného napájania budovy riaditeľstva. Otvorená architektúra softwarových nástrojov umožní pružnú modifikáciu na meniace sa podmienky na tuzemskom aj Európskom trhu s elektrinou. Technické riešenie ROVE musí poskytnúť prostriedky pre špecializované útvary, prepojenie, výmenu dát a informácií odborných útvarov na riaditeľstve, medzi riaditeľstvom a Zúčtovateľom odchýlok ako aj Slovenským elektroenergetickým dispečingom a riaditeľstvom a výrobnými závodmi. Front office má hlavnú úlohu realizovať jednotlivé obchodné prípady, zabezpečovať obchodné väzby na Zúčtovateľa odchýlok s elektrinou, hodnotenie obchodov, rokovanie s obchodnými partnermi a uzatváranie obchodov. 51

53 Middle office analyzuje obchodné činnosti a riadi riziká vyplývajúce z obchodovania s elektrinou, zabezpečuje operatívne kontroly, analýzy a riadenie rizík, analýzy portfólia, tvorbu predikcií, navrhovanie opatrení na zníženie rizík. Back office administratívne zabezpečuje obchody, potvrdzuje uzatvorené obchody a zabezpečuje finančné vysporiadanie, zaúčtovanie, fakturáciu a riadenie platieb, sledovanie účtu partnera. Spolupracuje na sledovaní kreditného rizika zmluvných strán. Výbor pre riadenie rizík je nezávislá organizačná zložka, odčlenená od procesu samotného obchodovania. Je zodpovedný za rozhodovanie o postupoch nad stanovené limity obchodovania, pri zvážení prevádzkových finančných a ďalších rizík. Príprava prevádzky zabezpečuje plánovanie nasadzovania jadrových, tepelných a vodných elektrární SE, a. s., a zdrojov, ktoré vykupujú pri minimalizovaní celkových nákladov na výrobu a pri rešpektovaní zásadných požiadaviek obchodu s elektrinou. Pokrývanie kontrahovaných obchodov na silovú elektrinu, ako aj na podporné služby. Vykonáva tiež hodnotenie prevádzky v technických jednotkách. Výrobný dispečing je pracovisko s nepretržitou prevádzkou, pre riadenie podľa denného plánu, t. z. denného záťažového diagramu v hodinovom rastri, ktorý pokrýva dohodnuté kontrakty na dodávky elektriny. Výrobní dispečeri budú v priamom kontakte s obchodníkmi Front office pre spotové a prípadné vyrovnávacie obchody. Pracoviská ASDR a ASRVP vo výrobných závodoch sú miesta zberu dát a výkonného riadenia. Prietokové vodné elektrárne vystupujú ako fiktívny zdroj prostredníctvom dispečingu VE. 52

54 8 RIEŠENIE Riešením tejto diplomovej práce je navrhnúť niekoľko variantných spôsobov ako bezpečne oddeliť dve siete s rôznym stupňom dôvernosti informácií. Technologická i informačná sieť sú súčasťou ASRVP (automatizovaný systém riadenia výrobných procesov). Nakoľko sa v technologickej sieti nachádzajú citlivé údaje (zber dát v reálnom čase), ktorých zneužitie by malo katastrofálne následky, je potrebné ju striktne chrániť. Údaje, ktoré potrebuje organizácia ku svojej technicko obchodnej činnosti resp. funkčnosti, musia byť poskytované používateľom informačnej siete. Preto je potrebné sprístupniť konkrétne údaje iba používateľom informačnej siete, ktorí majú na to oprávnenie. To umožňujú návrhy jednotlivých riešení, ktoré som vypracoval. 8.1 ANALÝZA VARIANTNÝCH RIEŠENÍ ODDELENIA TECHNOLOGICKEJ A INFORMAČNEJ SIETE RIEŠENIE ČÍSLO 1: POUŽITIE STAVOVÉHO FIREWALLU Obrázok 14 Riešenie s využitím stavového firewallu Stavový firewall s dvoma základnými rozhraniami kontroluje sieťovú prevádzku, ktorá vstupuje do niektorého z jeho rozhraní, a aplikuje na ňu prístupové pravidlá na základe nich potom danú prevádzku povolí alebo zamietne. Tento firewall môže taktiež filtrovať sieťovú prevádzku podľa zdrojovej a cieľovej IP adresy, podľa protokolu, a ďalej podľa stavu spojenia. Môže taktiež do svojich protokolov zaznamenávať pokusy o spojenie, ktoré sa zhodujú s istými pravidlami a ktoré v sieti vedú k vyvolaniu výstrahy. A nakoniec tento firewall umožňuje taktiež preklady sieťových adries NAT. Toto riešenie je jednou z najzákladnejších metód, ako zaistiť bezpečnosť technologickej siete. Prístup do siete je kontrolovaný prísne definovanými pravidlami firewallu, ktoré 53

55 presmerujú prichádzajúcu prevádzku do správnych serverov technologickej siete. Na prvý pohľad sa toto riešenie javí ako dostatočne bezpečné. To však ostne len domnienkou, pokiaľ sa na sieť dostane šikovný útočník, ktorý presne vie, čo robí. Priame smerovanie prevádzky z informačnej siete do technologickej siete je zásadnou chybou, ktorej sa chceme vyvarovať. Preto sú ďalej analyzované riešenia, ktorý tento problém vylučujú. RIEŠENIE ČÍSLO 2: POUŽITIE PROXY SERVERA Obrázok 15 Riešenie s využitím proxy firewallu Firewall na aplikačnej úrovni zaisťuje najbezpečnejší typ dátových spojení, pretože dokáže v komunikačnom procese skúmať úplne všetky vrstvy modelu TCP/IP. Pre zaistenie tejto úrovne ochrany musí proxy server fakticky vstúpiť do prebiehajúcej komunikácie a kontrolovať každé spojenie. Ak proxy označí dané spojenie za povolené, otvorí smerom k sieti TLAN druhé spojenie od samého seba, v mene pôvodného používateľa. Pri tejto inšpekcií je nutné oddeliť všetky parametre hlavičky TCP/IP. Samotnej inšpekcii ďalej podliehajú vlastné prenášané dáta. Informácie pri tejto inšpekcii sa potom predložia firewallovým pravidlám a podľa výsledku bude priechod paketov povolený alebo zamietnutý. Ak je paket povolený, uloží si firewall informácie o danom spojení z hlavičky, prepíše novú hlavičku a upravený paket odošle ďalej. Zamietnutý paket sa jednoducho odstráni. Z funkčného hľadiska proxy prijíma nad jedným rozhraním pakety, kontroluje ich podľa definovanej množiny pravidiel, a pokiaľ sa rozhodne pre ich povolenie, odošle ich cez iné rozhranie. Medzi informačnou a technologickou sieťou tak nikdy nevznikne priame spojenie; z pohľadu používateľa v IIS všetky informácie zdanlivo pochádzajú od proxy firewallu. Nevýhody: Pomalšia činnosť. Vzhľadom k dôkladnému skúmaniu a starostlivému spracovaniu paketov je proxy firewall veľmi bezpečný, ale zároveň dosť pomalý. 54

56 Nie sú vždy aktuálne. S vývojom nových protokolov a aplikácii je nutné doplniť či rozšíriť i proxy server. To znamená, že je k novej aplikácii nutné tiež vyvinúť a otestovať nové proxy servery. RIEŠENIE ČÍSLO 3: POUŽITIE ZRAKADLOVÉHO PC Obrázok 16 Riešenie s využitím stavového firewallu a zrkadlového PC Princíp tohto riešenia zabezpečenia technologickej siete spočíva v tom, že množina firewallových pravidiel striktne zakazuje vstup akejkoľvek dátovej prevádzky z informačnej siete. To znamená, že žiadny používateľ IIS nemá priamy prístup k údajom z TLAN. Keďže však používatelia IIS nevyhnutne potrebujú údaje z technologickej siete ku svojej práci, sú im poskytované na zvláštnom PC, čím sa vytvorí určité zrkadlo technologickej siete. Ten je umiestnený na vonkajšom rozhraní firewallu. Aktualizácie sú zasielané na tento počítač periodicky alebo po nahromadení údajov v TLAN. Prípadným riešením je aj možnosť zasielania konkrétnych dát (vzhľadom na veľké množstvo informácií v TLAN) na podnet používateľa IIS. Toto riešenie možnosti zasielania informácií na zrkadlový PC však zo sebou prináša zníženie bezpečnosti tým, že do technologickej siete musí vstúpiť paket z požiadavkou. Riešenie so zrkadlovým počítačom umiestneným na vonkajšom rozhraní stavového firewallu spĺňa požiadavky bezpečnosti technologickej siete, nespĺňa však požiadavky zabezpečenia samotného PC zo strany IIS. Tento problém rieši firewall s rozhraním DMZ, ktorý tvorí riešenie štvrtej metódy. RIEŠENIE ČÍSLO 4: POUŽITIE FIREWALLU S ROZHRANÍM DMZ Zrkadlový počítač bude napojený do segmentu demilitarizovanej zóny. Nebude mať dve rozhrania a v jeho implementácií nebudú skryté žiadne bezpečnostné konflikty. 55

57 Množina pravidiel pre rozhranie DMZ nedovolí podľa svojej konfigurácie vstup externej prevádzky z IIS do internej prevádzky v TLAN; takto sa prichádzajúca prevádzka zo site IIS bude držať iba v segmente demilitarizovanej zóny. Rozhranie DMZ nebude mať definované žiadne cesty, ktoré by povolili prevádzku medzi IIS a TLAN. Toto riešenie je oveľa bezpečnejšie ako povoliť prístup do siete ako v prípade riešení 1 a 2. Rozhranie demilitarizovanej zóny je umiestnené medzi dôveryhodným segmentom (sieť TLAN) a nedôveryhodným segmentom siete (sieť IIS); tým obe siete fyzicky izoluje. Toto fyzické oddelenie siete je veľmi dôležité, pretože z informačnej siete je takto možné pristupovať len ku zvláštnemu PC umiestnenému v DMZ, nikdy však do vnútornej siete. Štruktúra siete je zobrazená na obrázku 16. Obrázok 16 Riešenie s využitím firewallu s rozhraním pre DMZ Na obrázku 16 je v segmente demilitarizovanej zóny umiestnený zrkadlový PC. Podľa pravidiel platných pre rozhranie DMZ, nesmie sieťová prevádzka z IIS vstupovať za segment pripojený k rozhraniu DMZ. Najväčšou výhodou tohto riešenia je izolácia všetkých neznámych požiadaviek z IIS do zvláštneho PC v zóne; to znamená, že táto potenciálne nebezpečná prevádzka sa už nedostane do technologickej siete. Prevádzka firewallu s rozhraním DMZ má ale ešte ďalšie výhody je lepšie vidieť, čo všetko sa v sieti deje, a tým pádom ju dostávame pod bezpečnejšiu kontrolu: Audit prevádzky v demilitarizovanej zóne Umiestnenie detekčného systému IDS (Intrusion Detection System) v DMZ Obmedzenie aktualizácií smerovania medzi troma rozhraniami 56

58 8.2 IMPLEMENTÁCIA DEMILITARIZOVANEJ ZÓNY 1. Pomocou hardwarového stavového firewallu Jednou z možností, ako dosiahnuť väčšiu bezpečnosť technologickej siete je vytvoriť tri samostatné siete. Táto možnosť vyžaduje použitie stavového firewallu s troma rozhraniami. Smerovač je súčasťou Informačnej siete. LAN strana smerovača sa pripojí na vonkajšie rozhranie stavového firewallu. Jedno rozhranie pre IIS (vonkajšie rozhranie), druhé pre segment demilitarizovanej zóny a tretie pre T-LAN (vnútorné rozhranie). Čiže do DMZ sa môžu umiestniť informácie, ktoré budú poskytované používateľom Informačnej siete. Tým vylúčime vstup akéhokoľvek spojenia do technologickej siete. Na vnútorné rozhranie firewallu pripojíme switch (prepínač), do ktorého sa môžu pripájať počítače technologickej siete. Obrázok 18 Implementácia DMZ Toto riešenie teda umožní bezpečné oddelenie TLAN. Môže sa otvoriť spojenie k IIS a k DZM, ale ani jedna z týchto sieti nemôže nadviazať spojenie k technologickej sieti. V dôsledku zvýšenia bezpečnosti sú v tomto prípade firewallové pravidlá nastavené tak, aby sa nedalo vytvoriť spojenie ani z Technologickej siete do Informačnej. Bezpečnosť zvyšuje i aplikácia NAT a SPI. Čím sa ešte zdôrazní nedôvera voči DMZ a IIS a teda sa môžu považovať za úplne oddelené od technologickej siete. Pokiaľ by aj chcel niekto zaútočiť na TLAN, nepodarilo by sa mu to. Pretože firewallové pravidlá sú nastavené tak, aby nedôverovali žiadnemu spojeniu prichádzajúcemu zvonku. Útočník by sa domnieval, že už je na niektorom počítači v TLAN a odtiaľ, že sa dostane i na ďalšie, je však na omyle pretože sa dostal iba do nedôveryhodnej siete, ktorá je umiestnená v zvláštnom segmente vnútorného firewallu. 57

59 Zvýšenie bezpečnosti je možno dosiahnuť pomocou prekladu sieťových adries NAT, ktorý zabezpečí otvorenie konkrétneho portu do DMZ. Všetky ostatné pokusy sú odmietnuté na smerovači resp. firewalle. 2. Pomocou softwarového firewallu (netfiltra) Ďalšou z možností ako vytvoriť demilitarizovanú zónu je pomocou počítača, ktorý má v sebe zabudované 3 sieťové karty (NICs). Jedna sieťová karta by bola využívaná pre spojenie s technologickou sieťou, jedna pre spojenie s informačnou sieťou a jedna pre segment DMZ. Samotný firewall je implementovaný v jadre operačného systému, ktorým je LINUX. Ten je nainštalovaný na PC s už spomínanými 3 sieťovými kartami. Keďže sa mi nepodarilo zaobstarať hardwarový stavový firewall, priklonil som sa ku konfigurácií Linuxového netfiltra. Na obrázku 19 je zobrazená celá bloková schéma ROVE už so samotnou implementáciou firewallu so segmentom demilitarizovanej zóny. 58

60 Obrázok 19 Bloková schéma ROVE už s implementovaným riešením 59