Teplický magistrát zvýšil bezpečnost počítačových sítí

logo_teplice

Statutární město Teplice

200 koncových uživatelů z řad úředníků i magistrátu i volených představitelů

Nasazením kvalitního IPS systému do naší sítě jsme učinili další z důležitých kroků k zajištění její trvalé dostupnosti a zabezpečení citlivých dat. Mimořádně důležitá je pro nás i skutečnost, že námi nasazený IPS systém vyžaduje při běžné činnosti jen minimální zásahy a tím zbytečně nespotřebovává naši pracovní kapacitu. Ing. Richard Frontz, vedoucí oddělení informatiky

Úkol

Posílit klasickou ochranu sítě o systém IPS.

Statutární město Teplice provozuje svůj informační systém ve vlastní režii s tím, že síťová infrastruktura je realizována na základě jednotlivých dodávek koncipovaných tak, aby výsledný systém byl dostatečně konzistentní, výkonný a poskytoval rozumnou míru bezpečnosti, a to jak v oblasti uložených dat, tak i obranu proti úmyslnému i neúmyslnému napadení celého systému.  V současné době je systém provozován pro cca 200 koncových uživatelů z řad úředníků i magistrátu i volených představitelů.

Jednou z cest, jak zvýšit bezpečnost provozovaného IT systému, je vhodně koncipované nasazení systému obrany proti průniku (obecně se označuje jako IPS – Intrusion Prevention system).

Před rozhodnutím o nasazení systému IPS nebyl žádný takový systém u zákazníka používán, ochrana proti průniku byla řešena standardními prostředky: tj.  firewall, antivirové programy na serverech i stanicích i organizační opatření – např. minimalizace možnosti používání přenosných médií v počítačích. Všechny tyto prostředky jsou samozřejmě důležité, lze říci i nezbytné, ale v případě, že se rozhodneme systém posunout na vyšší úroveň, již nejsou dostatečné.

Vhodně volený systém IPS je schopen zachytit výrazně větší množství útoků na síťovou infrastrukturu a současně omezit dopady těchto útoků na její fungování.

Řešení

Rozhodování o vhodné technologii nasazovaného sytému IPS vycházelo jak z technických požadavků, tak i z renomé uvažovaného systému. To je právě u bezpečnostních řešení velmi důležité, neboť intenzita, četnost i rychlost útoků se v poslední době velmi rychle zvyšuje.

Základní rozhodnutí spočívalo v tom, že ochrana systému bude realizována ve dvou místech, kde případný útok může způsobit největší škody.

Prvním z nich je samozřejmě vstupní bod sítě – připojení k internetu. Důležitost ochrany v tomto místě je zřejmá, správné dimenzování výkonu zařízení IPS je však poměrně snadné – jeho zaručená průchodnost musí být několikrát větší, než je rychlost připojení k internetu (vč. uvažovaného zvýšení v blízké budoucnosti). U nás běžné rychlosti okolo 100Mbit/s jsou pro moderní IPS systémy spíše na dolní hranici nabízeného sortimentu a není problém takové zařízení nalézt u celé řady výrobců.

Dalším, na první pohled ne tak zřejmým bodem, který si zaslouží důkladnou ochranu proti útokům, je centrum výpočetního systému, tedy servery a jejich datová úložiště.  Útok na servery může totiž přijít i zevnitř sítě, ať již došlo k nakažení stanice připojením přenosného media nebo např. otevřením přílohy infikovaného mailu.

Pokud se rozhodneme zařadit IPS sytém mezi centrální infrastrukturu a zbývající část LAN, musíme již vhodný prvek vybrat mnohem pečlivěji neboť jeho rychlost a zpoždění vložené do cesty kontrolovaných dat přímo ovlivní rychlost systému vnímanou jednotlivými uživateli. Požadavek na vysokou průchodnost a malou latenci celou řadu dodavatelů systémů IPS diskvalifikuje.

Po dimenzování vhodného hardwaru je třeba zvážit ještě základní vlastnosti, které by systém IPS měl mít. Dva základní rysy je třeba označit jako nejdůležitější a upřednostnit je před ostatními byť důležitými parametry. Prvním z nich je vlastní odolnost zařízení IPS proti útokům, neboť jeho ovládnutím by se případný útočník mohl v síti již pohybovat nerušeně. Druhým neméně důležitým parametrem je kvalita rozpoznávání případných útoků a to jak v oblasti falešných poplachů tak i nerozpoznání případných útoků. S kvalitou v tomto smyslu souvisí i neustálá aktuálnost detekčních mechanizmů.

Po zvážení všech potřebných parametrů padlo rozhodnutí u zákazníka nasadit IPS systém TippingPoint výrobce Hewlett-Packard. Tento systém patří ke světové špičce nejen v technických parametrech, ale především v oblasti kvality a aktuálnosti detekce možných útoků.   V laboratořích TippingPoint se neustále shromažďují informace o zjištěných zranitelnostech a jejich detekce se obratem zpracovávají do pravidelných aktualizací systému. V případě velmi závažných zranitelností je obrana připravena již stejný den, kdy byla zranitelnost ohlášena. Jedná se o tzv. „Zero day initiative“, kde hraje TippingPoint velmi důležitou roli.

V běžných případech jsou nové detekční postupy distribuovány v pravidelných intervalech – obvykle jednou týdně.  Tato data jsou v systému TippingPoint nazývána „Digitální vakcína“.

Přitom je třeba si uvědomit, že na rozdíl např. od antivirového programu, který sleduje konkrétní útoky, je v tomto případě sledováno využití zjištěné zranitelnosti, takže v době kdy potenciální útočníci vytvářejí virus nebo jiný škodlivý kód, již je připravována obrana, která na tomto kódu není nijak závislá.

I z hlediska vlastní odolnosti zařízení proti útoku je použita vysoce účinná metoda, a totiž to, že zařízení v síti není nijak „vidět“ z hlediska infrastruktury se chová jako pouhý průchozí prvek.  Síťový interface pro komunikaci se zařízením je zcela oddělen od jeho detekční větve a může být umístěn v zabezpečené (resp. zcela oddělené) části sítě.

Rovněž hardwarová architektura, ze které vychází systém TippingPoint  je optimálně přizpůsobena požadavkům, které se na systém kladou. Menší modely s průchodností do 300 Mbit/s jsou ještě realizovány na běžném základu – jádrem je specializovaný procesor, který zajišťuje všechny potřebné operace. Tím je dáno jak omezení průchodnosti, tak i relativně vyšší zpoždění. Všechny následující modely, jejichž sortiment dnes sahá od  600Mbit/s až k 20GBit/s jsou již postaveny na paralelním zpracování velkého množství flitrů (až desetitisíce) což umožní dosáhnout mimořádně malého zpoždění i v případě, že je současně analyzováno mnoho potenciálních útoků v každém paketu dat.

Výsledky

V konkrétním případu zákazníka město Teplice je v současné době provozována již druhá generace zařízení IPS.

První systém s menší průchodností (100Mbit/s) je instalován v místě připojení k internetu a slouží především k omezení útoků směřujících z vnějšího prostředí do interní sítě.  Zároveň umožní správci sítě filtrovat nejrůznější aplikace, které není vhodné ve firemní síti provozovat, případně dovolí omezit jejich maximální šířku pásma, tak aby jí zůstalo dostatek pro nejdůležitější aplikace, jejichž chod přímo ovlivní interakci informačního systému s okolím. 

Druhý systém již je z řady využívající HW paralelní filtrování (průchodnost 1 500 Mbit/s). Tento systém je začleněn do sítě LAN mezi uživatelské stanice a centrální farmu serverů. Tím je centrum chráněno i před útoky, které přicházejí z vlastní sítě, ať již k zavlečení škodlivého kódu došlo jakýmkoliv způsobem.

Dodavatelé systémového softwaru i aplikací samozřejmě pečlivě sledují informace o zveřejněných zranitelnostech a dodávají poměrně rychle opravy (tzv. záplaty), které konkrétním útokům mají zabránit.  Vytvoření a především otestování vhodné opravy však nějakou dobu trvá a navíc je nutné jejich velmi opatrné aplikování, neboť v interakci s dalšími programy může dojít k neočekávaným problémům.

Díky použití systému IPS TippingPoint, je možno instalaci nových oprav odložit na dobu kdy již budou otestovány a kdy případná odstávka systému nesníží požadovanou dostupnost aplikací.

Oba systémy IPS mohou pracovat samostatně, ale výhodnější je jejich centrální správa speciálním dohledovým systémem, která se nazývá SMS (Security Management System), který všechny úlohy správy výrazně zjednoduší.  V síti Statutárního města Teplice je tento systém instalován, ale zatím bohužel pouze v první verzi. Po případné instalaci nového systému bude možno mimo jiné nastavit systém automatické izolace zdroje nákazy. Ve spolupráci s dohledovým systémem sítě IMC od stejného výrobce (Hewlett-Packard) je možno automatizovat proces přeřazení útočníka do izolované virtuální sítě (VLAN) ve které již nemůže dále uškodit. 

Obchodní dopady

Použití systému IPS je dalším z mnoha bezpečnostních postupů, které mají chránit sítě před nejrůznějšími typy útoků, ať již nahodilými nebo cílenými.

V ideálním stavu se uživatelům jeví jako zcela transparentní a pokud je síť zabezpečena i dalšími mechanizmy (vč. organizačních opatření) může se dokonce jevit v běžném provozu nepotřebným.

Jedná se tedy vlastně o pojistku, jejíž hodnota spočívá mimo jiné v tom, že nevyžaduje téměř žádnou rutinní péči. Po základním nastavení již celý systém běží bez nutnosti pravidelné obsluhy, pouze po významnějších změnách v síti je někdy zapotřebí zajistit úpravu konfigurace (rozhodnout zda povolit nebo zakázat nějakou další službu).  V žádném případě však není možno předpokládat, že správce bude osvobozen od kontroly záznamů v zařízení, aby si udržel přehled o aktuálním dění v síti, stejně tak jako není možno přestat aplikovat záplaty a spoléhat se pouze na systém IPS.