1

3 /2008(18)

Szanowni Czytelnicy,

Polecamy lekturze nasz „Biuletyn Zabezpieczeń IT”. W tym numerze piszemy o stosunkowo nowych roz-wiązaniach w ofercie Clico: propozy-cjach firmy Imperva i Tufin i nieco dokładniej przyglądamy się systemo-

wi zarządzania bezpieczeństwem STRM Juniper Ne-tworks. Jak zawsze dołączamy kilka newsów, zapro-szeń oraz sprawozdań z konferencji.

Życzymy miłej lektury,

Redakcja

Web Application Firewall jako metoda ochrony i ubezpieczenie inwestycji biznesowych

Działalność biznesowa firm intensywnie rozwijana jest w oparciu o aplikacje Web, szczególnie w zakresie koope-racji z Partnerami i Klientami. Jeden standard dostępu do usług informatycznych (Web) zapewnia swobodę w korzy-staniu i wymianie informacji. Otwartość systemów informa-tycznych stwarza jednak nowe niebezpieczeństwa i potrzebę zastosowania adekwatnych do istniejących zagrożeń środ-ków bezpieczeństwa. (więcej na stronie 2)

Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa – Juniper Security Threat Response Manager (STRM)

Działalność firm jest coraz mocniej uzależniona od sys-temów informatycznych. Efektywne zarządzanie ich bezpie-czeństwem w skali całego przedsiębiorstwa staje się dużym wyzwaniem. Podstawowe wymagania stawiane systemom zarządzania bezpieczeństwem są następujące:� w jednym miejscu obsługa incydentów bezpieczeństwa

dla całego obszaru systemu informatycznego, � zarządzanie i analiza wielu milionów rejestrowanych zda-

rzeń bez ponoszenia dużych nakładach pracy, � precyzyjne monitorowanie stanu i efektywności pracy

środowiska sieciowego (m.in. przeciążeń, awarii, ataków D/DoS i 0-day),

� spełnienie wymagań prawnych, standardów bezpieczeń-stwa i innych regulacji (PCI, SOX, ISO-27001, Basel II, itd.).

Rozwiązaniem spełniającym powyższe wymagania są systemy klasy Security Information and Events Manage-ment (SIEM) oraz Network Behavior Anomaly Detection (NBAD). (więcej na stronie 4)

Firewall Operations Management – nowa kategoria systemów wspomagających za-rządzanie bezpieczeństwem

Z myślą o problemach wynikających w momencie wpro-wadzania przez administratorów zmian w konfiguracjach firewall została opracowana kategoria systemów wspoma-gających ich w zarządzaniu bezpieczeństwem – Firewall Operations Management. Jednym z najbardziej zaawanso-wanych rozwiązań tej kategorii jest SecureTrack izraelskiej firmy Tufin Technologies. (więcej na stronie 9)

Nowe szkolenia w ofercie Centrum Szkoleniowego Clico

Centrum Szkoleniowe Clico Sp. z o.o. wkroczyło w rok 2008 z ofertą nowych szkoleń firm Check Point Software Ltd. i SafeBoot oraz wprowadziliśmy również trzy własne szkolenia o technologiach telefonii internetowej VoIP.

(więcej na stronie 11)

Konferencje, targi, seminaria…(więcej na str. 12)

W bieżącym wydaniu...

2

3 /2008(18)

dr inż. Mariusz Stawowski

Web Application Firewall jako metoda ochrony i ubezpieczenie inwestycji biznesowych

Działalność biznesowa firm intensywnie rozwija-na jest w oparciu o aplikacje Web, szczególnie w za-kresie kooperacji z Partnerami i Klientami. Jeden standard dostępu do usług informatycznych (Web) zapewnia swobodę w korzystaniu i wymianie infor-macji. Otwartość systemów informatycznych stwarza jednak nowe niebezpieczeństwa i potrzebę zastoso-wania adekwatnych do istniejących zagrożeń środ-ków bezpieczeństwa.

Twórcy aplikacji Web (e-Portal, e-Commerce, itd.) stosują wiele dynamicznie rozwijanych techno-logii i środowisk developerskich, jak AJAX, XML, SOAP, ASP, .NET, PHP, itp. Wraz z rozwojem tej klasy aplikacji pojawiły się dla nich nowe, specy-ficzne zagrożenia. Konwencjonalne zabezpieczenia sieciowe firewall, IPS i AV umożliwiają poprawne blokowanie typowych ataków sieciowych (exploit, DoS) oraz złośliwego kodu. Zabezpieczenia te mają bardzo ograniczone możliwości w zakresie blokowa-nia ataków wykorzystujących błędy logiczne aplika-cji Web i bazy danych, m.in.: � manipulowanie i zmiany wartości parametrów

aplikacji (URL, formatki),� Fuzzing (zalewanie aplikacji losowo wybrany-

mi wartościami), � SQL-injection, � CLI-injection,� LDAP-injection,� Cross Site Scripting (XSS),� Cross Site Request Forgery (CSRF).

Obecnie poważne błędy bezpieczeństwa aplika-cji Web są wykrywane nawet w dużych i popular-nych serwisach bankowości internetowej i handlu elektronicznego. Informacje na ten temat są często dostępne publicznie (m.in. Hacking.IP). Wymaga-ne jest zastosowanie nowej generacji rozwiązania ochrony – Web Application Firewall (WAF), które w odróżnieniu od konwencjonalnych zabezpieczeń sieci umożliwiają skuteczną ochronę aplikacji Web przed istniejącymi zagrożeniami.

Zabezpieczenia WAF stanowią efektywną ochro-nę nawet w sytuacji, gdy w trakcie rozwoju aplikacji Web zostaną wprowadzone w niej luki bezpieczeń-stwa. Zastosowanie WAF w dużym zakresie pomaga firmom w osiągnięciu wymagań standardów bez-pieczeństwa (PCI, SOX, ISO-27001, Basel II, itd.).

W przypadku standardu PCI wdrożenie zabezpie-czeń WAF zwalnia firmy z obowiązku dokonywania kosztownych audytów kodu źródłowego po każdej zmianie aplikacji Web (PCI 6.6).

Jednym za naj-bardziej zaawanso-wanych na rynku

rozwiązań zabezpieczeń w kategorii WAF jest IMPE-RVA1 SecureSphere. W skład pakietu SecureSphere wchodzą następujące rozwiązania: � Web Application Firewall (WAF) – aplikacyjny

firewall Web, � Database Security Gateway (DSG) – firewall

aplikacyjny baz danych z narzędziami audytu,� Database Monitoring Gateway (DMG) – sys-

tem monitorowania i audytu baz danych.

Rysunek 1. Konsola zarządzania systemu zabezpieczeń IMPERVA SecureSphere

System zabezpieczeń IMPERVA SecureSphere re-alizuje funkcje aplikacyjnego firewalla Web (WAF), aplikacyjnego firewalla bazy danych oraz posiada wbudowane zabezpieczenia konwencjonalnej, peł-no-stanowej zapory sieciowej Firewall (Stateful In-spection) oraz sieciowego systemu ochrony przed intruzami (Intrusion Prevention System, IPS). Sys-tem posiada typową, trójwarstwową architekturę złożoną z urządzeń zabezpieczeń SecureSphere Ga-teway, serwera zarządzania MX Management Server oraz graficznych konsol zarządzania dostępnych poprzez interfejs Web (patrz rysunek 1). Wykaz podstawowych funkcji ochrony aplikacji Web i baz danych został przedstawiony w poniższej tabeli.

3

Biuletyn IT

Funkcje ochrony aplikacji Web Funkcje ochrony aplikacji baz danych� Automatyczne tworzenie i aktualizowanie pro-

fili aplikacji Web oraz wykrywanie naruszeń bezpieczeństwa.

� Weryfikacja zgodności komunikacji sieciowej ze standardem protokołu HTTP.

� Wykrywanie nieznanych robaków sieciowych atakujących serwery Web poprzez techniki heurystyczne.

� Wykrywanie skomplikowanych ataków poprzez mechanizm korelacji wielu zdarzeń.

� Automatyczne tworzenie i aktualizowanie pro-fili aplikacji SQL oraz wykrywanie naruszeń bezpieczeństwa.

� Weryfikacja zgodności komunikacji sieciowej ze standardami protokołu SQL.

� Wykrywanie skomplikowanych ataków po-przez mechanizm korelacji wielu zdarzeń.

� Skaner bezpieczeństwa wykrywający błędy za-bezpieczeń baz danych.

� Narzędzia audytowania aplikacji baz danych (m.in. w zakresie zgodności ze standardami PCI, SOX).

Zasady kontroli komunikacji sieciowej przez sys-tem zabezpieczeń IMPERVA SecureSphere przed-stawia rysunek 2. Komunikacja sieciowa poddawana jest analizie negatywnej (tzw. black-list) jak reguły fi-rewall i sygnatury IPS oraz analizie pozytywnej (tzw. white-list) jak wykrywanie naruszeń standardów pro-tokołów oraz profili aplikacji.

Rysunek 2. Zasady kontroli komunikacji sieciowej w IM-PERVA SecureSphere

System zabezpieczeń IMPERVA może poddawać kontroli zwykłą komunikację TCP/IP oraz zaszyfro-wane połączenia HTTPS (SSL/TLS) do serwerów Web i baz danych. Kontrola zaszyfrowanej komu-nikacji HTTPS nie powoduje widocznej degradacji wydajności urządzeń SecureSphere Gateway, ponie-waż urządzenia nie terminują sesji SSL, a jedynie deszyfrują i sprawdzają ich zawartość. Składowanie materiału kryptograficznego i deszyfrowanie sesji

może odbywać się na urządzeniach SecureSphere lub na dedykowanych sprzętowych modułach kryp-tograficznych nCipher lub SafeNet. Zasady typowe-go wdrożenia zabezpieczeń przedstawia rysunek 3.

Rysunek 3. Koncepcja wdrożenia zabezpieczeń IMPERVA SecureSphere

Podstawowa ochrona WAF bazuje na budowa-nych dla aplikacji Web profilach. Profile zawierają m.in. opis struktury, folderów, URL i parametrów. Zabezpieczenia WAF analizują i poddają walidacji dane wprowadzane do aplikacji Web. Nawet w przy-padku wystąpienia błędów w aplikacji są w stanie za-blokować próby ich nielegalnego wykorzystania. IM-PERVA łączy przy tym wiele mechanizmów ochro-ny. Dla przykładu, skuteczne zabezpieczenie przed atakami SQL Injection (wprowadzaniu poleceń SQL do bazy danych przez interfejs Web) i wyeli-minowanie fałszywych alarmów jest możliwe dzięki

4

3 /2008(18)

połączeniu technik detekcji opartych na profilach i sygnaturach.

Konwencjonalne zabezpieczenia IPS są w sta-nie wykrywać proste ataki SQL Injection za pomo-cą sygnatur. Generują jednak przy tym dużą liczbę fałszywych alarmów (tzw. false positive) dla komu-nikacji, gdzie aplikacja Web przysyła legalne zapy-tania SQL do bazy danych. Połączenie w IMPERVA technik detekcji przez sygnatury i naruszenia profili (np. wprowadzanie danych innego typu i rozmiaru) umożliwia skuteczne wykrywania ataków i wyelimi-nowanie fałszywych alarmów. Profile aplikacji są au-tomatycznie aktualizowane – system zabezpieczeń potrafi rozróżnić atak od sytuacji, gdzie aplikacja została zmodyfikowana przez deweloperów.

Rysunek 4. Reguły chronionej aplikacji Web poprzez wy-krywanie anomalii profili

Zastosowane zabezpieczeń IMPERVA Secure-Sphere do ochrony aplikacji Web i baz danych posiadają możliwość śledzenia i monitorowania transakcji SQL dokonywanych przez użytkowni-ków aplikacji Web bez konieczności przebudowy kodu aplikacji. Mechanizm Univeral User Tracking umożliwia transparentne skorelowanie nazw użyt-kowników zalogowanych w aplikacji Web z doko-

nywanymi przez tę aplikację transakcjami w bazie danych. Dzięki temu ww. nadużycia bezpieczeństwa dokonane w bazie danych zostaną przypisane do określonego użytkownika aplikacji.

Rysunek 5. Koncepcja mechanizmu Univeral User Trac-king

Nowe technologie Web umożliwiają firmom obniżenie kosztów rozwoju i utrzymania systemów informatycznych, m.in. niskie koszty utrzymania aplikacji po stronie użytkowników, dostęp do usług i informacji odbywa się przez standardowy interfejs Web, łatwość modyfikacji i rozbudowy aplikacji, itd. Aplikacje Web nie mogą jednak zagrażać poufności danych firmy, ani też umożliwiać naruszenie bez-pieczeństwa i narażenie reputacji firmy i zaufania Klientów i Partnerów. Wymagana jest odpowiednia ochrona tych aplikacji – Web Application Firewall. Bezpieczne aplikacje Web zapewniają firmom do-bre warunki dla działalności biznesowej firmy przy jednoczesnym obniżeniu kosztów utrzymania sys-temów informatycznych. Wdrożenie aplikacji Web wraz z kompletnymi środkami bezpieczeństwa jest przedsięwzięciem perspektywicznym, posiadającym mocne uzasadnienie biznesowe.

1 Współzałożyciel firmy IMPERVA – Shlomo Kramer (wcześniej współzałożyciel Check Point Technologies) został uznany przez Network World za jednego z 20 ludzi, którzy zmienili przemysł sieciowy na świecie.

dr inż. Mariusz Stawowski

Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa – Juniper Security Threat Response Manager (STRM)

Działalność firm jest coraz mocniej uzależniona od systemów informatycznych. Efektywne zarządza-nie ich bezpieczeństwem w skali całego przedsię-biorstwa staje się dużym wyzwaniem. Podstawowe wymagania stawiane systemom zarządzania bezpie-czeństwem są następujące:

� w jednym miejscu obsługa incydentów bezpie-czeństwa dla całego obszaru systemu informa-tycznego,

� zarządzanie i analiza wielu milionów rejestro-wanych zdarzeń bez ponoszenia dużych nakła-dów pracy,

5

Biuletyn IT

� precyzyjne monitorowanie stanu i efektywno-ści pracy środowiska sieciowego (m.in. prze-ciążeń, awarii, ataków D/DoS i 0-day),

� spełnienie wymagań prawnych, standardów bezpieczeństwa i innych regulacji (PCI, SOX, ISO-27001, Basel II, itd.).

Rozwiązaniem spełniającym powyższe wymagania są systemy klasy Security Information and Events Management (SIEM) oraz Network Behavior Ano-maly Detection (NBAD). Systemy SIEM pobierają logi z wielu różnych elementów systemu informa-tycznego, poddają je korelacji i na tej podstawie przedstawiają administratorom wiarygodne infor-macje na temat stanu bezpieczeństwa i wykrytych incydentów. Logi z systemu informatycznego nie pokazują jednak pełnego obrazu bezpieczeństwa. Podstawą prawidłowego funkcjonowania systemów informatycznych jest sieć. Od systemu zarządzania bezpieczeństwem wymagane jest precyzyjne moni-torowanie stanu i efektywności pracy środowiska sieciowego. Takie zadania spełnia NBAD, który na podstawie statystyk i opisu ruchu (np. NetFlow) pobieranych bezpośrednio z urządzeń sieciowych (ruterów, przełączników) dokonuje analizy stanu i efektywności pracy sieci, w tym wykrywania sytuacji nieprawidłowych (anomalii). Utrzymywanie dwóch systemów zarządzania SIEM i NBAD zwiększa na-kłady administracyjne i koszty utrzymania zabezpie-czeń. Uzasadnione jest stosowanie rozwiązań zinte-growanych.

Juniper Security Threat Response Manager (STRM) to scentralizowany system zarządzania bez-pieczeństwem realizujący funkcje SIEM i NBAD oraz utrzymujący centralne repozytorium logów. Ju-niper STRM obsługuje incydenty bezpieczeństwa na podstawie następujących źródeł informacji:� zdarzenia i logi z systemów zabezpieczeń (fi-

rewall, VPN, IPS, AV, itd.), systemów operacyj-nych (Unix, Windows, itd.) oraz aplikacji i baz danych,

� statystyki i opis ruchu sieciowego odbierane z urządzeń za pomocą NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywane bezpośrednio z sieci (span port),

� informacje na temat stanu systemów i ich sła-bości bezpieczeństwa odczytywane za pomocą Juniper IDP Profiler oraz skanerów Nessus, NMAP, nCircle, Qualys, Foundstone, itd.

Zdarzenia i logi pobierane są przez STRM za po-mocą różnych metod, m.in. Syslog – standardowy format logów (TCP, UDP), SNMP – wiadomości o zdarzeniach (SNMP Trap, v3), Windows Agent

– zdarzenia z systemów MS Windows, JuniperNSM – integracja z systemem zarządzania Juniper NSM, JDBC:SiteProtector – integracja z IBM SiteProtec-tor, Log Export API (LEA) – integracja z systemem zarządzania Check Point, Security Device Event Exchange (SDEE) – protokół używany w urządze-niach Cisco, oparty na SOAP, a także Java Databa-se Connectivity API (JDBC) – zdalny dostęp do baz danych.

System zarządzania Juniper STRM dostarczany jest w formie „gotowych do użycia” urządzeń Ap-pliance o różnej wydajności i przestrzeni dyskowej – STRM 500, STRM 2500 i STRM 5000. Urządzenia działają na bazie odpowiednio „utwardzonego” sys-temu operacyjnego klasy Linux (CentOS), umożli-wiającego łatwą integracje z zewnętrznymi repozyto-riami danych (m.in. iSCSI SAN i NAS).

Rysunek 1. Modele urządzeń Juniper STRM

Skuteczna obsługa incydentów koncentruje się na identyfikacji ich sprawców (użytkowników, hac-kerów, złośliwego kodu). W systemie STRM jest utrzymywana i na bieżąco aktualizowana baza Asset Profile, która umożliwia przeszukiwanie zgroma-dzonych informacji o zasobach systemów informa-tycznych zgodnie z wieloma kryteriami. Zdarzenia analizowane przez STRM są powiązane z nazwami użytkowników, nazwami komputerów oraz adresa-mi IP/MAC.

Wiarygodność incydentów jest ustalana na pod-stawie wielu źródeł – logów różnych systemów, ruchu w sieci oraz skanerów zabezpieczeń, itd. Administra-torzy bezpieczeństwa korzystają z STRM za pomocą dedykowanych, graficznych narzędzi uruchamia-nych z wykorzystaniem standardowej przeglądarki Web. Nie ma potrzeby instalowania do tego celu dodatkowych aplikacji.

Dane określające tożsamość użytkowników mogą zostać ustalone na podstawie wielu różnych syste-mów, m.in. Juniper Steel Belted Radius, Juniper In-franet Controller, Cisco Secure Access Control Se-rver, Linux Authentication Server, ArrayNetworks ArrayVPN, Check Point SmartCenter/Provider-1,

6

3 /2008(18)

Cisco VpnConcentrator, F5 BigIP, Juniper NetScre-en/SSG, Juniper SA, itd.

Rysunek 2. Konsola zarządzania Juniper STRM

Dla administratorów dokonujących obsługi incy-dentów bezpieczeństwa, przy dużej liczbie genero-wanych alarmów istotne jest szybkie identyfikowanie najważniejszych zdarzeń. W STRM obowiązują zasa-dy zaczerpnięte z systemu logiki sądowej – Judicial System Logic (JSL). Dla każdego zidentyfikowanego incydentu prezentowana jest jego ważność (Magni-tude) ustalana na podstawie trzech kryteriów:1. Wiarygodność (Credibility): Jak wiarygodny jest

dowód? Jeżeli wielu świadków (źródeł danych) potwierdzi zdarzenie to jego wiarygodność jest wyższa.

2. Istotność (Relevance): Ważność zdarzenia (incy-dentu) zależy od obszaru, gdzie wystąpiło oraz zasobów, których dotyczyło.

3. Surowość (Severity): Wielkość zagrożenia zależy m.in. od podatności zasobów na ataki, wartości zasobów, rodzaju ataku, liczby zaatakowanych za-sobów.

Zawarty w Juniper STRM moduł NBAD wykry-wa anomalie w systemie informatycznym za pomo-cą analizy behawioralnej. Na bieżąco budowane są profile normalnego stanu i zachowania sieci oraz identyfikowane odchylenia, m.in. zmiany stanu, nagłe zwiększenia lub zmniejszenia natężenia ru-chu i przekroczenie wartości progowych. Funkcje NBAD umożliwiają wykrywanie nowych obiektów w systemie informatycznym (hostów, aplikacji, pro-tokołów, itd.) i dzięki temu identyfikowanie zagro-żeń i incydentów, m.in. trojanów nawiązujących połączenia zwrotne z intruzami, wirusów propagu-jących się przez email oraz serwisów nielegalnie uru-chomionych w sieci.

Rysunek 3. Architektura systemu zarządzania STRM

Analiza stanu i zachowania sieci umożliwia także wykrywanie wielu innych niedozwolonych działań jak np. serwerów Web działających jako Proxy, a tak-że partnerów i klientów nadużywających uprawnień (dostęp do obszaru, z którego nie powinni korzy-stać).

Rysunek 4. Przykład działania NBAD

Zawarte w Juniper STRM fukncje NBAD zwięk-szają możliwości i podwyższają wiarygodność iden-tyfikowanych incydentów bezpieczeństwa SIEM. W tym zakresie można przedstawić wiele przykła-dów, m.in.:� analiza ruchu NBAD wykazała, że zaatakowa-

ny system tuż po ataku przesłał odpowiedź do sieci zewnętrznej – z dużym prawdopodobień-stwem wystąpiło włamanie,

� analiza ruchu NBAD wykazała, że system ko-munikuje się z serwerem IRC w Internecie, co może wskazywać, że intruz zainstalował w tym systemie IRC Bot,

7

Biuletyn IT

� analiza ruchu NBAD wykazała, że serwis, który został zaatakowany z dużym prawdopodobień-stwem został zablokowany, ponieważ po ataku nie wykazuje aktywności.

Moduł NBAD może zostać także użyty do wykry-wania awarii ważnych biznesowo systemów, które powinny być dostępne 24/7, m.in.: zablokowanych/uszkodzonych serwerów i aplikacji, niewykonania operacji backup, urządzeń blokujących ruch.

Rysunek 5. Przykładowa rozproszona struktura STRM

System zarządzania Juniper STRM może zostać wdrożony w architekturze scentralizowanej (wszyst-

kie funkcje na jednym Appliance) oraz rozproszo-nej, złożonej z wielu urządzeń. Struktura rozpro-szona STRM budowana jest w celu zwiększenia wy-dajności systemu. Także w przypadku rozproszonej struktury STRM zarządzanie całości systemu odbywa się z jednej konsoli.

Role i uprawnienia administratorów STRM mogą zostać dostosowane do potrzeb organizacji. Istnieje możliwość ograniczenia poszczególnym administra-torom dostępu do ustalonego obszaru systemu in-formatycznego oraz limitowania operacji w systemie zarządzania STRM. Tożsamość administratorów STRM może być weryfikowana poprzez lokalne kon-to oraz zewnętrzne systemy uwierzytelniania (m.in. RADIUS, TACACS, LDAP/Active Directory).

Do celów zarządzania zdarzeń (Log Manage-ment) w STRM utrzymywane jest centralne repozy-torium logów. Logi mogą być przeglądane w formie rzeczywistej (raw) lub znormalizowanej. Starsze logi poddawane są kompresji. Informacje składowane w STRM są zabezpieczone kryptograficznie za po-mocą sum kontrolnych (także za pomocą „silnej” funkcji SHA-2).

STRM oferuje wiele typów raportów tworzonych zgodnie z kryteriami ustalonymi przez administrato-rów oraz raportów predefiniowanych (ponad 200), w tym na zgodność ze standardami (m.in. PCI, SOX, FISMA, GLBA, HIPAA). Do dyspozycji administra-torów STRM dostępny jest intuicyjny kreator rapor-tów. Raporty mogę być tworzone w wielu formatach (m.in. PDF, HTML, RTF, CVS, XML).

Juniper Day 2008

27 maja br. odbyła się V edycja Juniper Day. Co roku przybywa chętnych osób do udziału w tej konferencji, niemniej jednak frekwencja tegorocz-na pozytywnie zaskoczyła nas wszystkich. Mieliśmy przyjemność gościć 470 uczestników, tym samym sala w Silver Screen była wypełniona po brzegi. Tak liczne grono uczestników powitali przedstawicie-le Juniper Networks: Pim Versteeg, Vice President Emerging Markets i Piotr Czechowicz, Regional Manager CEE&Balans. Potem przez pięć kolejnych godzin uczestnicy konferencji zapoznawali się z no-

Pim Versteeg, Juniper Networks, Vice President EM wykład inauguracyjny

8

3 /2008(18)

wościami w ofercie Juniper Networks prezentowa-nymi przez inżynierów z Juniper Networks i Clico.

Juniper Day 2008 zamknął pokaz filmu „Indiana Jones i Królestwo Kryształowej Czaszki”.

Zapraszamy do zapoznania się z prezentacjami z konferencji, które dostępne są tutaj: http://www.

Rejestracja trwała ... i trwała

Sala była pełna

clico.pl/hardware/netscreen/html/prezentacje_2008.html

Wszystkim uczestnikom dziękujemy za tak liczne przybycie. Oczekujemy Państwa na kolejnej edycji konferencji za rok.

Szczęśliwi zwycięzcy Wykład Mariusza Stawowskiego (CLICO)

Prezentacja Emila Gągały, Juniper Networks

Ingrid Hagen, Juniper Networks

9

Biuletyn IT

dr inż. Mariusz Stawowski

Firewall Operations Management – nowa kategoria systemów wspomagających zarządzanie bezpieczeństwem

Zapory sieciowe firewall są kluczowym elementem bez-pieczeństwa systemów infor-matycznych. Za ich pomocą

budowana jest właściwa architektura zabezpieczeń sieci, strefy bezpieczeństwa i wymuszane polityki bezpieczeństwa1. Obecnie zabezpieczenia firewall posiadają wiele skomplikowanych reguł. W średnich i dużych firmach zmiany konfiguracji zabezpieczeń sieci wprowadzane są każdego dnia przez różnych administratorów. Błędy w konfiguracji mogą spowo-dować utratę ciągłości działania biznesu oraz dopro-wadzić do naruszeń bezpieczeństwa zasobów infor-matycznych.

Trudnym zadaniem dla administratorów zabez-pieczeń firewall jest zapewnienie, aby wprowadzane przez nich zmiany konfiguracji były rzeczywiście uza-sadnione, poprawne i nie doprowadziły do naruszeń bezpieczeństwa. Do typowych problemów, na jakie napotykają administratorzy firewall można zaliczyć:� Rozmiar polityk zwiększa się w szybkim tempie

(często kilkaset reguł i tysiące obiektów) i w kon-sekwencji administratorzy tracą kontrolę nad konfiguracją zabezpieczeń. Administratorzy nie są pewni, jaką rolę spełniają określone ustawie-nia i jakie dokładnie efekty odniosą wprowadza-ne zmiany konfiguracji.

� Błędy w polityce firewall otwierają możliwości naruszeń bezpieczeństwa (np. pomyłkowe ze-zwolenie dostępu do serwerów produkcyjnych z obszarów mało zaufanych jak Internetu otwiera możliwość ich zaatakowania; bez właściwej kon-troli dostępu pracownicy firmy nie stosują się do regulaminów i nadużywają uprawnień w systemie informatycznym).

� W konfiguracji firewall występuje nadmierna licz-ba reguł polityki bezpieczeństwa i obiektów konfi-guracyjnych (występują elementy niepotrzebne). Reguły nie są ustawione we właściwej kolejności. W konsekwencji funkcjonowanie zabezpieczeń jest mało wydajne.

Z myślą o tych problemach została opracowana kategoria systemów wspomagających administrato-rów firewall w zarządzaniu bezpieczeństwem – Fire-wall Operations Management. Jednym z najbardziej zaawansowanych rozwiązań tej kategorii jest Secure-

Track izraelskiej firmy Tufin Technologies. System SecureTrack monitoruje konfigurację i działanie firewalli (m.in. Check Point VPN-1, Juniper SSG/NetScreen, Cisco) i na bieżąco przedstawia admi-nistratorom wskazówki w zakresie wzmocnienia bezpieczeństwa i optymalizacji pracy zabezpieczeń. Rysunek 1 przedstawia podstawowe zasady działania SecureTrack i metody współdziałania z systemami firewall różnych producentów. Poniżej zostały scha-rakteryzowane techniczne własności tego rozwiąza-nia oraz korzyści z jego użytkowania.

Rysunek 1. Zasady działania Tufin SecureTrack

Optymalizacja i porządkowanie polityki zabezpieczeń

Analizując oraz porządkując zestaw zdefinio-wanych na firewallu reguł SecureTrack eliminuje potencjalne przypadki naruszenia bezpieczeństwa, zwiększając jednocześnie wydajność zapory siecio-wej. Umożliwia administratorom tworzenie zestawu reguł według priorytetu ich wykorzystania (patrz ry-sunek 2). Dzięki temu reguły częściej używane mogą zostać przesunięte na początek polityki. Dedykowa-ny algorytm identyfikuje niewykorzystane zestawy reguł odnoszących się do poszczególnych obiektów, które mogą zostać usunięte. Wskazanie zbędnych/niewykorzystywanych reguł kwalifikujących się do usunięcia eliminuje potencjalne luki w regułach fi-rewalla oraz podwyższa jego wydajność (zmniejsza rozmiar drzewa decyzyjnego jakie firewall musi dla ruchu sieciowego analizować). SecureTrack ocenia także poprawność polityki względem tzw. Firewall Configuration Best Practice, m.in. analizuje Implied Rules, Clean-up Rule, włączenie Anti-Spoofing, utrzymanie konwencji nazewnictwa obiektów, itd.

10

3 /2008(18)

Rysunek 2. Wytyczne do optymalizacji i wzmocnienia szczelności zabezpieczeń

Audytowanie zmian w zarządzaniu zabezpieczeń

SecureTrack monitoruje przeprowadzone zmia-ny, raportuje je w czasie rzeczywistym oraz zachowu-je wyczerpujące informacje audytowe, umożliwiając w ten sposób rozliczanie oraz egzekwowanie odpo-wiedzialności. Rysunek 3 przedstawia podstawowe operacje jakie mogą zostać w tym zakresie wykona-ne. Administrator SecureTrack wybiera wersje po-lityk firewall, które chce porównać. W odpowiedzi otrzymuje wykaz reguł, które zostały zmodyfikowa-ne, dodane i usunięte. System SecureTrack na bie-żąco rejestruje wszystkie zmiany dokonywane w po-litykach monitorowanych firewalli.

Rysunek 3. Porównywanie zawartości różnych wersji poli-tyk firewall

W razie potrzeby SecureTrack generuje raporty typu „New Revision”, które w graficznej formie pre-zentują zmiany polityki – patrz rysunek 4. Raporty te mogą być przesyłane poprzez email do wskaza-nych odbiorów w określonych warunkach (Install Policy, Save Policy, itp.). Administratorzy mogą tak-że w konsoli SecureTrack generować raporty zmian

polityk w czasie. Jest to przydatne w wyjaśnianiu nie-prawidłowości i błędów konfiguracji zabezpieczeń. Umożliwia także precyzyjne rozliczenie zmian doko-nanych przez administratorów.

Rysunek 4. Powiadamianie administratorów o wystąpie-niu zmian w konfiguracji firewall

Do innych zadań, do jakich może zostać wykorzy-stany system Tufin SecureTrack można zaliczyć:� analiza ryzyka oraz zapewnienie ciągłości dzia-

łania biznesu (mechanizmy symulacji działa-nia polityk zapobiegają przerwom w działaniu serwisów, identyfikują potencjalne zagrożenia, a także zapewniają zgodność ze standardami organizacji),

� monitoring pracy zapór sieciowych w całej sie-ci przedsiębiorstwa (śledzenie zmian konfigu-racji wielu firewalli różnych producentów),

� zapewnienie zgodności z normami i standar-dami (szczegółowe kontrolowanie i rejestro-wanie zmian zabezpieczeń zgodnie z wymaga-niami standardów, m.in. Sarbanes-Oxley, PCI--DSS, HIPAA, ISO 17799 oraz Basel II).

Rozwiązanie SecureTrack dostępne jest w formie oprogramowania instalowanego na systemie opera-cyjnym RedHat Enterprise Linux 3/4 lub CentOS 3/4, a także gotowych do użycia urządzeń Applian-ce. Dostęp do konsoli zarządzania odbywa się za pomocą standardowej przeglądarki Web (HTTPS). Dane w formie zaszyfrowanej składowane są w bazie danych /Postgresql/.

1 Więcej informacji na temat zabezpieczeń firewall można znaleźć w literaturze, m.in. książce „Zapory sieciowe firewall – Projektowanie i praktyczne implementacje zabezpieczeń na bazie Check Point NGX” – http://www.clico.pl/html/zapory_firewall.html

11

Biuletyn IT

Piotr Misiowiec

Nowe szkolenia w ofercie Centrum Szkoleniowego Clico

Centrum Szkoleniowe Clico Sp. z o.o. wkroczyło w rok 2008 z ofertą nowych szkoleń firmy Check Po-int Software Ltd., a mianowicie nową wersją szkoleń ZARZĄDZANIE VPN-1/FIREWALL-1 część I i II dla najświeższej wersji oprogramowania, czyli R65.

Do oferty dołożyliśmy trzydniowe seminarium firmy (ISC)2 pod nazwą: SSCP (SYSTEMS SECU-RITY CERTIFIED PRACTITIONER). Szkolenie to obejmuje naukę poszerzonej wiedzy technicznej o siedmiu dziedzinach bezpieczeństwa informacyj-nego, a mianowicie: � Kontrola dostępu – polityki, standardy i proce-

dury, które definiują, którzy użytkownicy mają dostęp do zasobu i jakiego rodzaju jest ten do-stęp oraz jakiego rodzaju operacje mogą oni wy-konywać w systemie.

� Analiza i monitorowanie – definiowanie wdroże-nia według ustanowionych kryteriów IT. Zbiera-nie informacji w celu identyfikacji i odpowiedzi na luki bezpieczeństwa oraz na zdarzenia.

� Kryptografia – ochrona informacji poprzez wy-korzystanie technik zapewniających poufność, integralność, autentyczność informacji szyfrowa-nej, a także odzyskiwanie tejże w jej oryginalnej postaci.

� Kody złośliwe – techniki ochrony przed wirusami, robakami, bombami logicznymi, trojanami i in-nymi formami dostarczania kodów uważanych za niebezpieczne.

� Sieci i telekomunikacja – struktura sieciowa, me-tody transmisji danych, formaty transportu oraz metody zabezpieczeń stosowane w sieciach pu-blicznych i prywatnych.

� Ryzyko, reakcja i odzyskiwanie danych – przegląd, analiza i wdrożenie procesów odpowiedzialnych za identyfikację, pomiar i kontrolę utraty danych związanej z nieprzewidzianymi zdarzeniami.

� Administracja zabezpieczeniami – identyfikacja zdarzeń informacyjnych, dokumentacja standar-dów, polityk, procedur i nakazów, które zapew-niają poufność, integralność i dostępność da-nych.

Po seminarium można przystąpić do egzaminu, dzięki któremu adepci uzyskują szeroki dostęp do atrakcyjnych ofert pracy w działach IT wielu korpo-racji.

Do naszego zestawu dołączyliśmy również certyfi-kowane szkolenie firmy SAFEBOOT.

Szkolenie SafeBoot zostało zaprojektowane tak, aby jego uczestnicy zdobyli wiedzę i umiejętności przydatne nie tylko przy instalowaniu, konfiguro-waniu oraz codziennym użytkowaniu produktów, ale również przy diagnozowaniu i rozwiązywaniu ewentualnych problemów oraz sytuacji krytycznych (Disaster Recovery). Obecnie w ofercie dostępne jest szkolenie: SAFEBOOT CERTIFIED SYSTEM ADMINISTRATORS (SCSA)

Zagadnienia omawiane na szkoleniu: � Wprowadzenie do SafeBoot Device Encryption � Administracja SafeBoot Device Encryption � Odzyskiwanie użytkowników i maszyn � Rozwiązywanie sytuacji krytycznych – Disaster Re-

covery � SafeBoot for Pocket PC � Narzędzie SafeBoot Scripting Tool � Mechanizm SafeBoot Hot Database Backup � Integracja SafeBoot z usługami katalogowymi � Wprowadzenie do SafeBoot Content Encryption � Administracja SafeBoot Content Encryption

Wprowadziliśmy również trzy własne szkolenia o technologiach telefonii internetowej VoIP, a mia-nowicie: � WPROWADZENIE DO TELEFONII VOIP

(1 dzień) – kurs podstawowy, mający na celu za-poznanie uczestników z wielkimi korzyściami wy-nikającymi z instalacji telefonii VoIP w przedsię-biorstwie <http://www.clico.pl/edukacja/html/wprowadzenie_do_telefonii_voip.html>

� TELEFONIA VOIP – PODSTAWOWE SZKO-LENIE TECHNICZNE (3 dni) – podstawowy kurs techniczny pozwalający na poznanie insta-lacji i konfiguracji serwerów, telefonów i bramek VoIP w oparciu o oprogramowanie Trixbox/Asterisk oraz infrastrukturę sprzętu firmy Link-sys <http://www.clico.pl/edukacja/html/voip_-_podstawowe_szkolenie_te.html>

� TELEFONIA VOIP – ZAAWANSOWANE SZKO-LENIE TECHNICZNE (2 dni) – zaawansowane szkolenie, które pozwala dowiedzieć się wielu tech-nicznych szczegółów na temat konfiguracji central VoIP, ze szczególnym uwzględnieniem serwerów faksów, technologii fax2mail, mail2fax, web2fax <http://www.clico.pl/edukacja/html/voip_-_za-awansowane_szkolenie_.html>

Szkolenia VoIP oparte są na bogato wyposażo-nym laboratorium, gdzie każda zainteresowana te-

12

3 /2008(18)

matem osoba może zapoznać się z cechami konfi-guracji.

W odpowiedzi na wzrastające zainteresowanie tematyką projektowania zaawansowanych systemów zabezpieczeń oraz audytów bezpieczeństwa Cen-trum kompetencyjne CLICO opracowało z tej tema-tyki specjalizowane szkolenia eksperckie. Szkolenia przeznaczone są dla specjalistów odpowiedzialnych za projektowanie, wdrażanie i audytowanie różnych rodzajów zabezpieczeń oraz konsultantów zajmują-cych się integracją systemów informatycznych.

Oferta edukacyjna CLICO została wzbogacona o dwa nowe szkolenia:� EX01 – Opracowanie i praktyczna implementa-

cja polityki bezpieczeństwa sieci i systemów tele-komunikacyjnych

� EX02 – Przygotowanie i realizacja audytu bezpie-czeństwa systemu informatycznego.Nowe szkolenia stanową atrakcyjną cenowo ofer-

tę edukacyjną, szczególnie dla działów bezpieczeń-stwa korporacji oraz firm konsultingowych i integra-torskich, które potrzebują wyszkolić większą liczbę specjalistów.

Uruchomiliśmy również nowe Centrum Testowe firmy ISO-Quality Testing Inc. (IQT). Centrum to dostarcza wiele ciekawych zawodowych testów certy-fikacyjnych, które jako unikalne na polskim rynku, mogą stanowić znakomitą pomoc dla osób chcą-cych zdobyć kwalifikacje w Polsce i mieć możliwość zdobycia pracy na całym świecie, a w szczególności w Stanach Zjednoczonych. Clico posiada status wy-łącznego dostawcy tych testów na terenie Polski i jest trzecim tego typu centrum w Europie.

!Firma CLICO została oficjalnym dystrybutorem Safenet

w Polsce

Firma Safenet to lider w dziedzinie bezpieczeń-stwa informacji. Założona w 1983 roku posiada po-nad 20 lat doświadczeń w rozwijaniu, wdrażaniu oraz zarządzaniu bezpieczeństwem sieci kompute-rowych. Safenet dostarcza szeroką gamę rozwiązań programowych oraz sprzętowych do ochrony komu-nikacji, poufnych danych oraz identyfikacji cyfrowej – wykorzystujących wysoko zaawansowane techniki kryptograficzne. Produkty Safenet wykorzystywane są w rozległych sieciach komputerowych i sieciach bezprzewodowych. Znajdują zastosowanie do ochro-ny danych, tożsamości i własności intelektualnej. Odbiorcą rozwiązań są duże korporacje, instytucje rządowe i finansowe, ale również sektor małych i średnich przedsiębiorstw. Portfolio firmy zawiera także rozwiązania dla użytkowników końcowych.

Safenet jest dostawcą wysoko wydajnych platform szyfrujących dla sieci WAN oraz VPN. Dostarcza

bogatej gamy sprzętowych modułów kryptograficz-nych (HSM) zapewniających zarządzanie i dystrybu-cję kluczy kryptograficznych, ochronę aplikacji oraz wsparcie dla PKI. Sprzętowe szyfratory danych chro-nią i zarządzają dużymi strukturami baz danych.

Producent oferuje również rozwiązania zabezpie-czające stacje końcowe oraz urządzania przenośne, zapewniając szyfrowanie dysków na poziomie sekto-rów, plików, katalogów oraz szyfrowanie danych na urządzeniach przenośnych. Natomiast identyfikacje cyfrową i bezpieczne wieloskładnikowe uwierzytel-nianie zapewniają karty inteligentne oraz tokeny USB.

Skontaktuj się z nami w celu uzyskania szczegó-łowych informacji na temat możliwości rozwiązań dostarczanych przez firmę Safenet: psk@clico.pl

13

Biuletyn IT

Konferencje, seminaria, targi i prezentacje

ZGRUPOWANIE KADRY!Clico Partner Event 2008

Tegoroczne Clico Partner Event odbyło się w du-chu sportowej rywalizacji. Na miejsce spotkania z naszymi najlepszymi Partnerami Handlowymi wy-braliśmy Spałę, miejscowość wypoczynkową znaną przede wszystkim jako ośrodek zgrupowań Polskiej Kadry Olimpijskiej. Na ok. 90 dni przed rozpoczę-ciem olimpiady w Pekinie, w dniach 11–13 maja br, trenowaliśmy tańce integracyjne, kajakarstwo, wy-cieczki plenerowe i piłkę siatkową. Zajęciom sporto-wym towarzyszyły liczne prezentacje dotyczące roz-wiązań dostępnych w ofercie Clico. Zatem słucha-cze mogli zgłębić swoją wiedzę z zakresu produktów firm, m.in.: Allot, Check Point, Crossbeam, Impre-va, Juniper, Tufin, Trend Micro, Websense, Sun.

Zgrupowanie na wykładach...

Piotr Kędra, Juniper Networks Kadra po godzinach

Michał Antoniak, Trend Micro

Piotr Wieschollek, Crossbeam Systems