|
Sa povezivanjem korporacijskih računarskih mreža na Internet, formiranjem extranet mreža i uvođenjem e-commerce aplikacija, zaštita računarskih mreža ima ogroman značaj za pouzdano funkcionisanje mreže. Zaštita računarskih mreža obuhvata:
Identifikaciju korisnika i proveru privilegija koje korisnik poseduje za pristup podacima i uređajima na mreži, identifikaciju uređaja koji komuniciraju međusobno.
Očuvanje integriteta mreže, koje podrazumeva: obezbeđenje pouzdanog rada mreže, kontrolu pristupa segmentima mreže, zaštitu podataka kriptovanjem saobraćaja koji se prenosi kroz mrežu.
Praćenje pokušaja ugrožavanja bezbednosti mreže.
Rešenja kojima se definiše, implementira i nadgleda zaštita računarskih mreža obuhvataju:
firewall sisteme realizovane kao hardver specijalne namene ili softver na ruterima,
kriptovanje podataka korišćenjem standardizovanog IPSec protokola,
softver za autentifikaciju, autorizaciju i praćenje pristupa mreži,
uređaje za praćenje pokušaja napada na računarsku mrežu,
uređaje za detekciju i prevenciju napada na mrežu u realnom vremenu i generisanje alarma i izveštaja o izvršenim akcijama,
antivirus zaštitu,
uređaje za zaštitu mail servera i korisnika od spam-a i virusa koji se prenose u okviru mail poruka,
uređaje za detekciju i zaštitu od distributed denial of service napada.
Komponente sistema zaštite u računarskim mrežama
Firewall i VPN uređaji
Stalefull Firewall sistemi poseduju više mrežnih interfejsa između kojih prate stanje svih sesija i sprečava neautorizovani mrežni pristup. Sistemi vrše proveru mrežnog saobraćaja koji kroz njih prolazi na nivoima 3 do 7 ISO OSI modela komunikacije, pa tako omogućavaju zaštitu i za VoIP, multimedijalne, instant messaging i peer-to-peer aplikacije.
Firewall sistem podržava sledeće funkcije:
Paketske filtre,
NAT i PAT,
Autentifikaciju i/ili autorizaciju i akaunting za određene tipove saobraćaja,
HTTP, HTTPS ili FTP filtriranje u saradnji sa proizvodima za Internet filtriranje, poput Websense ili N2H2,
Deep packet inspection,
Ograničavanje broja konekcija,
Rad u rutiranom ili transparentnom modu,
Firewall sistemi podržavaju i VPN funkcije:
Uspostavljanje tunela,
Dogovaranje parametara tunele,
Autentifikacija korisnika
Dodeljivanje IP adresa korisnicima,
Enkripcija i dekripcija podataka,
Upravljanje ključevima za enkripciju,
Upravljanje prenosom podataka kroz tunel.
Pomenute funkcije su realizovane kroz podršku različitih standardnih protokola definisanih u okviru IPSec i SSL protokola.
Cisco Adaptive Security Appliances, ASA, uređaji 5500 serije predstavljaju uređaje specijalno namenjene implementaciji statefull firewall i VPN servisa (IPSec i SSL baziranih). U okviru ASA 5500 serije nalazi se pet uređaja različitih performansi, koji zadovoljavaju potrebe malih i srednjih mreža, kao i većih korporacijskih mreža. ASA 5500 uređaji podržavaju module na kojima se implementira funkcionalnost intrusion prevention sistema (IPS), kao i module za tzv. anti-X zaštitu (anti virus, spam, spyware, phishing) i content i URL filtriranje.
Cisco ASA 5500
Cisco firewall servisni modul (FWSM) za Cisco 7600 i Catalyst 6500 je statefull firewall sistem visokih performansi, koji vrši proveru saobraćaja na nivou protokola i aplikacija. Ovaj sistem se preporučuje za zaštitu servera u data centrima servis provajdera i velikih korporativnih mreža. FWSM podržava protok saobraćaja do 5,5 Gbps, 100,000 novih konekcija u sekundi, jedan milion simultanih konekcija ili 256,000 NAT translacija i do 80,000 access control lista. U jednom Cisco 7600/6500 uređaju se može instalrati do četiri FWSM i na taj način povećati protok saobraćaja kroz firewall sistem na 20Gbps.
FWSM
Intrusion prevention sistem (IPS)
Mrežno bazirani IPS sistemi prate saobraćaj na delovima mreže koji se štite i precizno identifikuju, klasifikuju i odbacuju maliciozan saobraćaj, koji obuhvata worms, spyware/adware, mrežne viruse i zloupotrebu legitimnih servisa.
U cilju detekcije napada i anomalija u mrežnom saobraćaju, sistem vrši detaljnu analizu saobraćaja na nivoima od 2 do 7 ISO OSI modela. Metodi identifikacije napada obuhvataju:
naprednu zaštitu od virusa kroz integraciju IPS sistema sa anti-virus sistemom,
stateful pattern recognition - analiza više uzastopnih paketa saobraćaja za sve protokole,
analiza mrežnih protokola - dekodovanje i validacija svih glavnih TCP/IP protokola, kao i protokola na aplikativnom nivou komunikacije,
detekcija anomalija u mrežnom saobraćaju,
detekcija anomalija u okviru mrežnih protokola,
poređenje saobraćaja sa predefinisanim signaturama napada, koje se regularno ažuriraju sa pojavom novih napada.
IPS sistem daje preciznu analizu uticaja napada na mrežu, koja omogućava preduzimanje odgovarajuće akcije za sprečavanje napada. IPS poseduje adaptivni algoritam kojim se za svaki napad procenjuje stepen rizika, na osnovu detalja o napadu i trenutnih mrežnih statistika. IPS podržava više akcija, kao odgovor na detektovane napade: direktno odbacivanje paketa, terminaciju sesija i limitiranje protoka saobraćaja na IPS uređaju ili implementaciju kontrole pristupa i limitiranje protoka saobraćaja na ruterima i firewall-ima u mreži. IPS uređaj rangira napade prema uticaju koji oni imaju na funkcionalnost mreže. Pored toga IPS beleži detaljne informacije o svakom događaju, pre, za vreme i nakon njegovog pojavljivanja.
Cisco IPS rešenja poseduju gore navedene karakteristike. Ova rešenja obuhvataju IPS 4200 seriju namenskih IPS uređaja rezličitih performansi, servisne module za Catalyst 6500 switcheve, mrežne module za Cisco rutere i IPS module za ASA 5500 uređaje.
AAA softver
Softver za autentifikaciju, autorizaciju i accounting podržava RADIUS protokol server. Mrežni pristupni uređaji su klijenti koji se definišu na serveru i koji AAA zahteve prosleđuju serveru korišćenjem RADIUS protokola. Softver sadrži bazu korisničkih naloga na osnovu kojih se vrši autentifikacija. Za autentifikaciju korisnika softver treba da podržava integraciju sa eksternim bazama korisnika, poput Windows Active Directory, LDAP servera i sl. Za autorizaciju korisnika na AAA serveru se definišu korisnički profili koji sadrže RADIUS atribute na osnovu kojih se vrši autorizacija. Na AAA serveru se skupljaju i akauntng informacije, koje se mogu proslediti i nekoj relacionoj bazi podataka i koristiti za tarifiranje mrežnog pristupa.
Cisco Secure ACS je AAA server namenjen za korporativne mreže. Ovaj softver pored RADIUS protokola podržava i TACACS+ plus protokol. Softver poseduje web-bazirani interfejs za administraciju servera i veoma jednostavano se implementira. Softver podržava veliki broj TACACS+ i RADIUS atributa.
Cisco Access Registrar je AAA server namenjen ISP mrežama. Softver je baziran na MySQL bazi podataka, ali se može integrisati i sa Oracle bazom podataka, a podržava i LDAP protokol za autentifikaciju korisnika na LDAP serveru.
Monitorisanje sistema zaštite
Uređaj za monitorisanje sistema zaštite poseduje sledeće funkcije:
Naprednu agregaciju događaja na mreži - Uređaj poseduje integrisanu funkciju otkrivanja uređaja na mreži koja definisaniše topološku mapu, sakuplja konfiguracije uređaja i prepoznaje trenutno primenjenu politiku zaštite. Na osnovu ovih podataka uređaj definiše model toka saobraćaja. Uređaj centralno agregira događaje sa mrežnih uređaja (rutera, switcheva), namenskih uređaja za zaštitu mreže (firewall, IPS,...), host-ova, aplikacija i mrežni saobraćaj (poput NetFlow).
Kontekst korelacija - Primljeni događaji i podaci se u realnom vremenu grupišu u sesije, na osnovu topologije, konfiguracija uređaja, aplikacija i tipova napada. Na sesije se primenjuju sistemska i od strane administratora definisana pravila za korelaciju i detekciju napada.
Uređaj je optimizovan za prijem ekstramno velike količine poruka i visoke performanse agregacije i korelacije poruka.
Grafički interfejs prikazuje topološku mapu koja u realnom vremenu prikazuje incidente, mesta na kojima su otkriveni, putanju napada i detalje napada.
Notifikacija.
Generisanje detaljnih izveštaja.
Cisco Security Monitoring, Analysis, and Response System (Cisco Security MARS) proizvodi podržavaju sve gore navedene funkcije. Postoji više tipova uređaja koji imaju različite performanse, sa aspekta podržanog broja događaja i netflow informacija u sekundi i prostora za smeštanje podataka.
Monitorisanje sistema zaštite
Anti-spam sistem analizira dolazni, a ako je potrebno i odlazni, e-mail saobraćaj i blokira prosleđivanje spam poruke na adresu primaoca. Za prepoznavanje spam poruka sistem koristi više tehnika u cilju postizanja što veće efikasnosti i smanjenja broja pogrešnih procena (false positives). Tehnike koje se kombinuju za prepoznavanje spam poruka su:
Reputacija servera koji šalje poruku. Za određivanje reputacije servera koriste se baze podataka u kojima se prati aktivnost mail servera širom sveta. Primer takve baze je SenderBase koja prati i beleži aktivnost 25% svetskog mail i web saobraćaja. Različiti parametri vezani za e-mail se koriste za određivanje reputacije mail servera koji šalje poruku. Pored baza podataka za određivanje reputacije servera koji šalje poruku mogu se koristiti tzv. whitelists/blacklists definisane od strane administratora anti-spam sistema.
Analiaza i filtriranje na osnovu sadržaja poruke.
Heuristička analiza poruka.
Algoritmi koji omogućavaju prepoznavanje novih tipova spam poruka u trenutku njihovog nastajanja.
Upoređivanje poruka sa predefinisanim signaturama.
Pored zaštite od spam poruka anti-spam sistem omogućava zaštitu od phishing napada, zombie napada, malware-a, spoofed mail-a, kao i da prepozna spam u obliku slike ili mp3 audio fajla.
Anti-spam sistem poseduje tzv. End-User Quarantine, koji daje mogućnost korisnicima mail-a da upravljaju porukama koje je sistem proglasio za spam, preko Web-baziranog pristupa quarantine-u. Kada sistem smesti poruku u quarantine krajnji korisnik o tome dobija notifikaciju.
U cilju autentifikacije korisnika, kako za prijem poruka, tako i za pristup quarantine-u, anti-spam sistem podržava LDAP protokol za integraciju sa bazom korisnčkih naloga koju koristi i mail server.
Anti-spam sistem se može integrisati sa anti-virus sistemom u cilju detekcije, zaštite i uklanjanja ne samo virusa nego i ostalih malicioznih sadržaja (trojanaca, adware-a, spyware-a, i drugih vrsta neželjenih sadržaja), u okviru dolaznog i odlaznog mail saobraćaja. Anti-virus sistem podržava tzv. zero-day zaštitu.
IronPort anti-spam uređaji imaju sve opisne karakteristike. Postoji više modela uređaja (IronPort X1050, C650, C350, C350D i C150) koji imaju različite performanse, koje se ogledaju u broju primljenih i poslatih poruka u toku dana, kao i broju primljenih i poslatih poruka u satu najvećeg opterećenja mail servisa. IronPort X1050 uređaji su namenjeni zaštiti mail sistema servis provajdera.
IronPort X1050, C650, C350, C350D i C150 (odozdo nagore) i povezivanje na mrežu
Zaštita od DDoS napada
Sistemi za zaštitu od dos napada se sastoje od dve komponente:
Uređaj koji prati aktivnost na mreži i detektuje DDoS napade,
Uređaj koji na sebe preusmerava saobraćaj prema zoni mreže koja se nalazi pod DDoS napadom, obrađuje ga i prosleđuje saobraćaj očišćen od DDoS napada.
Uređaj koji se koristi za detekciju analizira saobraćaj na mreži. Pored predefinisanih pragova za poznate mrežne protokole i aplikacije, ovi uređaji se postavljaju u stanje učenja karakteristika saobraćaja na mreži koja se štiti od DDoS napada. Nakon što uređaj definiše karakteristike saobraćaja u periodima kada nema napada, moguće je identifikovati anomalije saobraćaja i generisati alarme. Pored toga, nakon mitigacije napada, uređaj treba da obezbedi mogućnost analize napada.
Uređaj koji se koristi za mitigaciju napada inicira preusmeravanje na sebe saobraćaja koji sadrži DDoS napad. Na njemu se vrši analiza saobraćaja i procesiranje koje filtrira legitiman saobraćaj i samo njega prosleđuje ka odredištu, dok se saobraćaj koji predstavlja napad odbacuje. Kada uređaj za mitigaciju detektuje da je napad završen prestaje i preusmeravanje saobraćaja na njega.
Sistem za zaštitu od DDoS napada u mrežama servis provajdera koji preporučujemo se sastoji od:
Arbor PeakFlow SP uređaja za detekciju DDoS napada
Cisco Anomaly Guard modula za Cisco 7600/6500 za mitigaciju napada
Arbor PeakFlow SP se bazira na IP flow analizi i deep packet inspection (DPI) tehnologijama i pored detekcije napada daje detaljne statistike saobraćaja na mrežnom i aplikativnom nivou. Ove statistike omogućavaju unapređenje mrežnih performansi i donošenje poslovnih odluka. Arbor PeakFlow SP pruža multi-protokol BGP analizu, koja omogućava mrežnim administratorima detekciju, izolaciju i rešavanje BGP problema. Uređaj omogućava i pružanje managed servisa zaštite od DDoS napada podprovajderima i korisnicima ISP mreže u kojoj je implementiran.
Cisco Anomaly Guard modul pruža zaštitu od svih vrsta DDoS napada, na taj način što prepoznaje i blokirana maliciozan saobraćaj, ne utičući na legitiman saobraćaj. Uređaj je baziran na jedinstavenom, patentiranom, multiverifikacionom procesu, koji je ilustrovan na sledećoj slici.
Proces detekcije DDoS napada
Cisco Anomaly Guard modul sadrži namenski mrežni procesor koji podržava analizu i filtriranje napada pri protoku od 1Gbps, pružajući zaštitu od velikog broja DDoS napada, uključujući i one napade koji su distribuirani na veliki broj zombie host-ova. Od verzije softevara 6.0 Cisco AGM podržava protok od 3Gbps. U okviru jedne šasije moguće je instalirati više AGM i na taj način postići performanse veće od 10Gbps.
Na slici koja sledi prikazan je centralizovani model implementacije mitigacije DDoS napada.
Mitigacija DDoS napada
|
