Новости связи
| Вид материала | Документы |
Содержание14 августа 2009 Особый подход к безопасности сети от компании Enterasys Дмитрий Шульгин, CIO-online, 14.08.09 |
- Новости связи, 4727.29kb.
- Новости связи, 8464.44kb.
- Новости связи, 6072.64kb.
- Новости связи, 17654.44kb.
- Новости связи, 4687.92kb.
- Новости, 457.99kb.
- Пресс-служба фракции «Единая Россия» Госдума, 1548.88kb.
- Новости Новости автомира, 47.52kb.
- Новости связи, 15706.97kb.
- Новости связи, 5926.8kb.
14 августа 2009
Особый подход к безопасности сети от компании Enterasys
На прошедшей в Москве 12 августа конференции "Сетевая свобода и безопасность" компания Enterasys Secure Networks (прежнее название – Cabletron Systems) представила на суд российской общественности свою идеологию построения безопасных сетей LAN. А поскольку подходы к решению вопроса, предлагаемые компанией Enterasys, заметно отличаются от большинства типовых разработок производителей телекоммуникационной техники, Лев Бокштейн, технический директор Enterasys по России и СНГ, в своем выступлении дал развернутый анализ проблем, с которыми приходится сталкиваться сетевым администраторам сегодня.
Как известно, начало сетевого строительства, относящееся еще к 70-м годам прошлого века, предполагало работу в так называемых плоских сетях, где бродкасты обрабатывались всеми узлами (рабочими станциями сети) без исключения. И если мы проанализируем трафик в такой плоской сети, то увидим, что полезной информации там пересылается мало, зато велика доля бродкастных пакетов. Однако бродкасты являются неизбежным злом, поскольку все узлы сети адресуются MAC-адресами уровня 2, которые аппаратно прошиты внутри каждого порта и с большим трудом поддаются фальсификации. То есть, без бродкастов работа классической LAN-сети невозможна в принципе.
Собственно говоря, для того чтобы ограничить зоны распространения бродкастных пакетов и были придуманы подсети. Но тогда возникла новая проблема – необходимо было связать в единую сеть эти отгороженные друг от друга зоны. Для решения этой проблемы были созданы маршрутизаторы – устройства, способные передавать информацию (IP-пакеты) из одного бродкастного домена в другой. Дальнейшее развитие сетевых технологий привело к появлению стандарта 802.11q, который позволил разрезать одну сетевую "железку" на два логических куска, каждый из которых являл собой два различных бродкастных домена. Лев Бокштейн полагает, что стандарт 802.11q VLAN вообще не задумывался и не разрабатывался как средство обеспечения информационной безопасности – он конструировался в качестве механизма, обеспечивающего стандартизацию средств разделения бродкастных доменов. Таким образом, мы пришли к классическому способу построения LAN-сети, в середине которой располагается головной маршрутизатор, а в подсетях установлены примитивные роутеры.
Одной из главных проблем классической сети является безопасность, и для ее решения были разработаны различные способы аутентификации – подтверждения личности пользователя и отнесения аутентифицированного порта к тому или иному VLAN. Этот процесс четко описан стандартом 802.1x. Но аутентификация пользователя не решает проблем безопасности, если мы не добавим к ней процесс авторизации в сети, в результате которого определенному лицу будут предоставлены конкретные права на выполнение некоторого набора разрешенных действий.
Но именно в этом пункте и возникают ключевые проблемы. Аутентификация в классических сетях осуществляется устройством уровня доступа. Авторизация осуществляется на логических IP-интерфейсах центрального маршрутизатора посредством ACL (авторизация посредством L2-атрибутики невозможна). К чему это приводит? К той ситуации, когда точка авторизации (IP-интерфейс) не совпадает с точкой аутентификации (порт доступа). Итак, аутентифицируют пользователя на границе сети, а авторизацию он получает в центральном звене – на роутере. В этой логике именно подсеть оказывается слабым звеном – средства ACL определяют, могут ли мои пакеты проникать в другие разделы сети, но они не препятствуют их хождению в рамках того отдела, в котором я прошел аутентификацию. То есть, центральное устройство, на котором висит ACL, не может повлиять на то, что происходит в "отсеках" (внутри VLAN).
Чтобы исправить ошибки такой логики построения сетевой безопасности были разработаны механизмы IDS/IPS, способные детектировать и предотвращать атаки и вторжения в сеть LAN. По сути дела, речь идет о сетевых анализаторах трафика, которые проникают в пакеты и сравнивают данные с занесенными в их базы данных сигнатурами. Вроде бы грамотное решение, но не будем забывать о том, какие задачи стоят перед IDS/IPS, и какими реальными возможностями обладают сегодня "железки". Строго говоря, современное аппаратное обеспечение IDS/IPS не способно перемалывать такие задачи с производительностью заметно выше 2-3 Гбит/с. Положим, сенсор системы детектирования вторжений, представляющий собой тяжелый сервер, стоит сегодня порядка 130-140 тыс. долларов США. И таких сенсоров на небольшую сеть, включающую в себя 200-300 рабочих станций, понадобится от 50 до 100, в зависимости от производительности LAN. Понятно, что решение IDS/IPS оказывается слишком дорогим, если сканировать весь сетевой трафик. На практике, это можно делать только выборочно, но как тогда быть с безопасностью?
К тому же, ни один IDS/IPS не способен заниматься анализом спорных ситуаций, где опасность не так очевидна, как при обнаружении вирусной сигнатуры. Получается, чтобы решать эти тонкие вопросы, необходимо нанимать специалистов, которые разбираются в таких проблемах, а это тоже недешевое удовольствие. Как видим, классические механизмы безопасности представляют собой очень дорогое решение, которое, все-таки, не дает настоящих гарантий безопасности.
Для решения всех перечисленных выше проблем компания Enterasys Secure Networks предлагает использовать принципиально иную модель построения сетевой безопасности. В ней динамическая авторизация осуществляется на входном порту с применением атрибутики уровней с 4-го по 2-й включительно (регулирование происходящего внутри VLAN). Что обеспечивает такой подход?
1) Фильтрацию пакетов на уровне физического входного порта, а не логического VLAN-интерфейса.
2) Возможность построения политик безопасности и применение их непосредственно к пользователю, а не к группе.
3) Способность работать с атрибутикой уровня 2 модели OSI.
4) Способность идентифицировать порт по IP-адресу.
5) Независимость от физического и логического дизайна сети (проблемы STP).
6) Производительность, характерную для современных LAN.
В сетевой модели Enterasys интеллект сети распространяется на ее периферию, поскольку каждый коммутатор знает, что такое политики, и может динамически их применять к любому своему порту. Такая схема работы позволяет бороться с вирусами и пр. на уровне портов, поскольку ACL здесь оказывается распределенным по каждому физическому порту сети. По сути дела, Enterasys создает распределенный брандмауэр, натянутый на LAN.
В классической сети, все, что происходит внутри одного отсека VLAN, не регулируется центральным маршрутизатором. Если хакеру удастся пройти аутентификацию, он получит доступ к портам всех машин данной подсети и начет распространять по ним "заразу". В варианте Enterasys, предусматривающем портовую пользовательскую авторизацию, обычному пользователю закрыт доступ по протоколам ICMP, SNMP, поэтому он не получит отклика на свои пинги. И если даже хакер сумеет войти в сеть как администратор, который имеет право работать по протоколам ICMP и SNMP, то результат его попытки вторжения будет также безрезультатен, поскольку машины пользователей на уровне портов отсечены от протокола ICMP – пинги до рабочих станций пройдут, но ответа на них не последует.
Суть подхода, как мы уже отметили, заключена в работе на уровне портов: устройства сети авторизуют пользователей на физических портах, при этом, они работают самостоятельно, поскольку политики подгружены на маршрутизаторы – внешних управляющих модулей IDS/IPS вообще не требуется. Все делается на уровне инфраструктуры – сетевого "железа", которое не только коммутирует трафик, но и делает это в соответствии с политиками безопасности. Мы получаем в свое распоряжение распределенный брандмауэр, который имеет возможность динамически менять политику для каждого своего порта.
Аппаратное обеспечение компании Enterasys может проводить классификацию пакетов в соответствии с атрибутикой L2-L4, то есть, обладает возможностями анализа трафика. В рамках предложенной сетевой модели осуществляется управление портами: применение политик в "большом круге" и блокада портов по результатам анализа в "малом". Маршрутизаторы Enterasys способны мгновенно принимать самостоятельные решения: выключать порты при наличии на них определенных видов нежелательного трафика.
Все это выглядит впечатляюще, но у многих администраторов сразу же возникнет вопрос, а какой ценой достигается такая безопасность сети? Как мы уже отметили, рядовым пользователям сети, построенной на устройствах Enterasys, закрыт доступ по протоколам ICMP, SNMP. Далее, им также закрыт для использования протокол TFTP, который применяется для загрузки бездисковых рабочих станций, загрузки обновлений и конфигураций в "умные" сетевые устройства, записи статистики с мини-АТС (CDR) и аппаратных маршрутизаторов/брандмауэров. Конечно, можно построить идеальную систему безопасности, запретив все и вся, но как на такие ограничения будут реагировать пользователи сети?
Дмитрий Шульгин, CIO-online, 14.08.09