A legújabb informatikai óvintézkedések és technikák
LNX Security Szeminárium 2005
2005. február 15.
Az üzemeltetés folytonosságának érdekében a legtöbb cég az informatikai
biztonság megteremtését tartja az egyik legfontosabb és legsürgetőbb
feladatának. Erre utal az IT-biztonsági beruházások egyre növekvő
mértéke is. A hagyományosan minden évben megrendezésre kerülő, immáron
harmadik LNX Security Szeminárium e fejlesztések technológiai
újdonságait mutatta be, kritikusan fontos rendszerek
esettanulmányaival, élő bemutatókkal egybekötve.
Az utóbbi évek nagy vírusfertőzési hullámai számos informatikai rendszer működésében okoztak hosszabb-rövidebb fennakadásokat, bosszúságot a felhasználóknak, álmatlan éjszakákat az üzemeltetőknek és jelentős veszteséget a cégeknek. Az új generációs támadási formák terjedése a korábbiaknál sokkal gyorsabb és agresszívabb volt. Mi változott? – tette fel a kérdést Az önvédő hálózatok kiépítése és működtetése című előadásában Eperjesi Tamás, az LNX Hálózatintegrációs Rt. rendszermérnöke.
A válasz a hálózatok nagyobb nyitottsága (Internet, levelezési rendszerek) mellett abban keresendő, hogy az új vírusok már professzionális fejlesztő környezet segítségével, különösebb felkészültség nélkül elkészíthetőek, és az operációs rendszerek publikált sérülékenységi területeit célozzák. A fejlesztés olyan gyors, hogy a vírusok és férgek százai lendülnek támadásba szinte a biztonsági javító csomag megjelenésével egy időben. Ilyen rövid idő alatt nagyon nehéz a rendszereinket felkészíteni a támadásra, és a várva várt vírusirtók is csak több nap múlva válnak elérhetővé.
A Cisco „Önvédő hálózat” koncepciójának célja például, hogy a fertőzés terjedését fékezze meg – mutatott konkrét megoldást Eperjesi. A hálózati belépés irányítására (Network Admission Control – NAC) koncentráló módszer révén az üzemeltetők a hálózati hozzáférést a hiteles végpontok (PDA, PC, szerver) számára engedélyezni tudják, míg a nem megfelelő eszközöket korlátozzák. Ez a fejlesztés nagymértékben javítja az infrastruktúra azon képességét, hogy azonosítsa, megelőzze a veszélyeket és adaptálódjon hozzájuk.
A NAC rendszer azt vizsgálja, hogy a hálózatra csatlakoztatni kívánt számítógép állapota megfelel-e a központi NAC „házirend szerveren” meghatározott elvárásoknak, azaz a gépen rajta van-e a megfelelő vírusirtó, megfelelő biztonsági patch-ekkel ellátott operációs rendszer fut-e rajta stb. Ezt az ellenőrzést az adott számítógépen telepített, az operációs rendszerrel kommunikáló NAC kliens végzi. Ha a gépünk nem rendelkezik a megfelelő védelemmel, a hálózati eszközök a gépet egy független szegmensen lévő web-szerverhez irányíthatják, ahonnan a felhasználó letöltheti a hiányzó biztonsági komponenseket – azaz a vírusirtókkal együttműködő, azzal integrált megoldást kapunk.
A NAC rendszerhez szorosan kapcsolódó Cisco Security Agent, a viselkedés alapon vizsgálatot végző szoftver védelmet nyújt mind az ismert, mind az ismeretlen (Day-Zero) fenyegetésekkel szemben, bármiféle biztonsági frissítés nélkül. A központilag kialakított szabályrendszer alapján a szoftver az adott tevékenységről eldönti, hogy annak futása megengedhető-e: például e-mail kliens szoftverek nem installálhatnak semmilyen programot a munkaállomásra, azok az alkalmazások, amelyek valahonnan letöltött tartalmat olvasnak be, nem hozhatnak létre command shell-eket, vagy a web-szerverek csak log és temp állományokat írhatnak.
Felmérések szerint a szervezetek vezetői által megbízhatónak tekintett felhasználók lényegesen nagyobb kárt képesek okozni, mint a külső támadások. A belső információkkal való visszaélések elkerülésének, a belső támadások megelőzésének szükségességére Bartos Balázs, az LNX konzulense hívta fel a figyelmet.
A hozzáférés menedzsment alkalmazásával a nagy felhasználószámú, heterogén rendszerekben is lehetőség nyílik arra, hogy a felhasználói jogosultságokat kézben tarthassuk, és a munkaerő-vándorlással kapcsolatos adminisztrációs feladatokat hatékonyan kezeljük – hangoztatta a szakértő. A gondolati váltást az jelenti, hogy a hozzáférés menedzsment alkalmazásával nem a rendszereinket, hanem a felhasználóinkat menedzseljük, átlátható kapcsolatot teremtve a személyek és a jogosultságaik között, a jogosultságok munkakörökhöz való rendelésével.
Bartos példaként a BMC Control-SA megoldását mutatta be, amelynek alkalmazásával lehetőség van a felhasználói jelszavak összehangolására, a változások gyors és hatékony kezelésére, a hozzáférések automatizált kialakítására, a biztonsági házirend központi felügyeletére. A rendszer mindehhez egységes felhasználói felületet nyújt, minden biztonsági beállítás, módosítás naplózott és visszakereshető. Bartos Balázs a módszer térhódításáról is beszámolt, a BMC Control-SA példájánál maradva csak ebből a rendszerből ma már 450 működik és több mint 11 millió felhasználót érint; ebből a legnagyobb 650 ezer felhasználó hozzáféréseit menedzseli. Előadásában a szakértő egy rövid mintapéldán keresztül azt is bemutatta, hogy a biztonsági házirend megsértése esetén milyen ellenőrzési, riasztási és beavatkozási folyamatok játszódnak le.