CENTRUM OPROGRAMOWANIA
Techniczne zagadnienia ochrony systemów informatycznych
Autor: Mariusz Stawowski
Podstawą bezpieczeństwa systemu informatycznego jest dobrze opracowany projekt, wdrożony z
użyciem właściwie dobranych technologii renomowanych producentów, zarządzany przez
wykwalifikowaną kadrę informatyczną. Projektowane zabezpieczenia powinny być oparte w znacznej
mierze na wynikach specyfikacji wymagań bezpieczeństwa, a także ogólnej teorii zabezpieczeń (m.in.
wymagane jest dokonanie weryfikacji odporności systemu na strategię włamań Island Hopping
Attack). Tworzenie zabezpieczeń systemu informatycznego powinno odbywać się w przemyślany,
wcześniej szczegółowo zaplanowany sposób zgodnie ze sprawdzoną metodyką.
Poprawny projekt systemu zabezpieczeń charakteryzuje się m.in. następującymi własnościami:
- opracowany zgodnie z sprawdzoną metodyką,
- zawiera etapy analizy, projektowania i wdrożenia,
- brak zbędnych opisów przepisanych z literatury,
- przejrzysty i zrozumiały model bezpieczeństwa,
- wyraz
nie zaznaczone, opisane strefy bezpieczeństwa,
- opis infrastruktury technicznej (narzędzia informatyczne, platforma sprzętowa, wymagania
lokalizacyjne),
- opis infrastruktury organizacyjnej (określenie kompetencji i kwalifikacji personelu, opracowanie
procedur działań w przypadku obsługi codziennej oraz sytuacji alarmowych),
- precyzyjna specyfikacja sprzętowo-programowa,
- plany testów akceptacyjnych.
System zabezpieczeń powinien składać się z wielu zintegrowanych modułów ochrony, które
uzupełniają i ubezpieczają się wzajemnie. Modułowa budowa systemu zabezpieczeń umożliwia
sprawne dokonywanie zmian w środowisku sieciowym, aplikacyjnym i usługowym oraz formach
dostępu tak jakościowych (protokoły, łącza) jak i ilościowych (liczba jednoczesnych połączeń).
Komponenty systemu zabezpieczeń powinny być administrowane z centralnej stacji zarządzającej,
zlokalizowanej w dobrze zabezpieczonym obszarze sieci (w dedykowanej strefie). System
zabezpieczeń powinien zostać tak skonfigurowany, aby samoczynnie sygnalizować (alarmować)
i podejmować odpowiednie działania w razie wykrycia nieprawidłowości i naruszeń bezpieczeństwa.
Wybór najbardziej odpowiedniej technologii do wdrożenia zabezpieczeń powinien zostać
dokonany na podstawie analizy porównawczej produktów:
- posiadających możliwości współdziałania z innymi systemami używanymi w przedsiębiorstwie,
- posiadających największe referencje na rynku komercyjnym,
- posiadających wiarygodne certyfikaty bezpieczeństwa1 (ITSEC, TCSEC, Common Criteria),
- posiadających najwyższe notowania w testach porównawczych wykonywanych przez
niezależne organizacje,
- posiadających na terenie Polski odpowiednią infrastrukturę pomocy technicznej i szkoleń.
1
Certyfikaty NCSA i ICSA nie powinny być honorowane z uwagi na mało wiarygodną procedurę ich nadawania.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
Zagadnienia zawarte w dalszej część opracowania to ogólne koncepcje, które nie powinny być
traktowane jako element wypracowanego projektu systemu zabezpieczeń. Przedstawione praktyczne
rozwiązania zostały dobrane przy założeniu, że system ochrony jest oparty na Check Point VPN-
1/FireWall-1.
W opracowaniu przedstawione zastały następujące zagadnienia:
I. Identyfikowanie i blokowanie ataków destrukcyjnych (D)DoS oraz wyrafinowanych prób
penetracji i włamań
II. Systemy kontroli zawartości
III. Bezpieczny dostęp do zasobów sieci korporacyjnej dla odległych użytkowników
IV. Kryptograficzna ochrona informacji
V. Zintegrowanie zabezpieczeń rutera Internet z systemem zaporowym Firewall
VI. Zastosowanie narzędzi wspomagających analizę i raportowanie zdarzeń
VII. Zastosowanie narzędzi wspomagających wykonywanie audytów bezpieczeństwa
VIII. Zarządzanie rozdziałem pasma sieci dla protokołów, użytkowników i usług
IX. Ochrona systemu zabezpieczeń Firewall przed awariami sprzętowymi i programowymi
X. System  mocnego uwierzytelniania użytkowników oraz Single SignOn
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
2
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
I. Identyfikowanie i blokowanie ataków destrukcyjnych (D)DoS oraz wyrafinowanych prób
penetracji i włamań
Wdrożony w sieci komputerowej przedsiębiorstwa system zabezpieczeń z reguły oparty jest na
systemie zaporowym Firewall, który posiada tylko ograniczone możliwości identyfikowania ataków
destrukcyjnych (D)DoS oraz wyrafinowanych prób penetracji i włamań. Szczególnie dotyczy to tzw.
Exploit poziomu aplikacji, stanowiących obecnie najczęściej wykorzystywaną metodę włamań do
systemów chronionych przez Firewall. Zalecanym uzupełnieniem w tym zakresie jest wdrożenie
systemu klasy IDS (Intrusion Detection System) i zintegrowanie go z istniejącymi zabezpieczeniami
Firewall. Rozwiązanie to jest zgodne z obowiązującym w systemach o podwyższonych wymaganiach
bezpieczeństwa  adaptacyjnym modelem bezpieczeństwa (patrz rysunek).
Check Point/ISS RealSecure jest obecnie najbardziej renomowanym na rynku systemem
zabezpieczeń umożliwiającym identyfikowanie i reagowanie w czasie rzeczywistym na groz
ne ataki
sieciowe oraz inne działania uznane za niedozwolone lub podejrzane. System składa się z trzech
podstawowych komponentów:
- Network Engine  moduł inspekcyjny analizujący ruch sieciowy, wykrywający znane wzorce
ataków, działania podejrzane oraz inne zdarzenia zdefiniowane przez administratora,
- System Agent  moduł inspekcyjny dokonujący analizy zdarzeń rejestrowanych w systemie
operacyjnym komputera, wykrywający znane wzorce ataków, działania podejrzane oraz inne
zdarzenia zdefiniowane przez administratora,
- Management Console  konsola umożliwiająca zcentralizowane, graficzne zarządzanie
modułów inspekcyjnych Engine i Agent.
Po wykryciu zdarzenia, które zgodnie z przyjętą polityką bezpieczeństwa jest zabronione, bądz

podejrzane RealSecure może podjąć następujące działania:
a) wysłać alarm do konsoli zarządzającej,
b) zapisać w logu notatkę o wystąpieniu zdarzenia lub całość sesji sieciowej,
c) zarejestrować czasowy przebieg sesji sieciowej (umożliwiając póz
niejsze symulacyjne
odtworzenie przebiegu zdarzeń),
d)  zabić sesję sieciową (wysłać pakiet RESET to klienta i serwera TCP),
e) wysłać komunikat do Check Point FireWall-1 w celu modyfikacji jego polityki bezpieczeństwa,
f) zamknąć sesję użytkownika w systemie operacyjnym i zablokować jego konto na określony
czas,
g) bezwarunkowo zablokować konto użytkownika w systemie operacyjnym (odblokowania konta
może dokonać tylko administrator),
h) przekazać informacje o zdarzeniu do administratora pocztą (E-Mail, Pager, SMS),
i) wysłać komunikat do menedżera SNMP,
j) wyświetlić ostrzeżenie dla użytkownika,
k) wykonać inne działania zdefiniowane przez administratora.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
3
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
Mając na względzie bezpieczeństwo instalacji zabezpieczeń RealSecure zalecane jest, aby
moduł RealSecure Engine został wdrożony na komputerze z dwoma kartami sieciowymi w konfiguracji
"skrytej" (ang. stealth configuration). W takiej konfiguracji jedna karta sieciowa jest podłączona do
bezpiecznej sieci prywatnej (gdzie zlokalizowana jest konsola zarządzająca), a druga do sieci w której
wykonywana jest analiza ruchu. Inspekcja sieci jest prowadzona na interfejsie pracującym w trybie
"promiscuous", który nie posiada adresu IP, ani też skonfigurowanego stosu TCP/IP i dzięki temu
system jest praktycznie niewrażliwy na jakiekolwiek ataki. Poniższy rysunek przedstawia koncepcję
zalecanego wdrożenia RealSecure.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
4
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
II. Systemy kontroli zawartości
Kontrola zawartości komunikacji sieciowej w zakresie wykrywania i eliminowania wirusów, koni
trojańskich, robaków i innych groz
nych aplikacji należy do ważnych zadań systemu zabezpieczeń
sieci podłączonej do Internetu. Podstawowe drogi przenikania złośliwych aplikacji z Internetu to poczta
elektroniczna SMTP, transfer plików protokołami FTP i HTTP oraz załączniki aplikacyjne do stron
HTML (ActiveX, VBS, Java, itp.). Do wdrożenia systemu kontroli zawartości należy wybrać produkt,
dla którego oficjalnie wiadomo, że poprawnie współpracuje z istniejącym systemem zaporowym.
Jeżeli system zaporowy to Check Point VPN-1/ FireWall-1 należy sprawdzić, czy rozwiązanie znajduje
się na liście certyfikowanych produktów Check Point OPSEC, np.: eSafe Protect Gateway firmy
Aladdin Knowledge Systems, InterScan VirusWall firmy Trend Micro, Norton AntiVirus for FireWalls
firmy Symantec, MIMEsweeper for FireWall-1 firmy Content Technologies, Websense for FireWall-1
firmy Websense, Inc., Smart Filter firmy Secure Computing (kompletna lista certyfikowanych
produktów OPSEC jest publikowana na stronach http://www.checkpoint.com).
Z punktu widzenia skuteczności zabezpieczeń zalecane jest, aby system kontroli zawartości
zintegrowany z Firewall został oparty na innej technologii od zastosowanej do ochrony antywirusowej
serwerów i stacji roboczych wewnątrz sieci. Do najbardziej rozpowszechnionych produktów tej klasy
stosowanych razem z FireWall-1 należą eSafe Protect Gateway i Trend Micro InterScan VirusWall.
Do istotnych własności tych produktów należą:
a) możliwość kontroli antywirusowej przesyłek SMTP oraz ich załączników, a także plików
przesyłanych poprzez FTP i HTTP,
b) skanowanie ruchu HTTP w zakresie wykrywania i blokowania niebezpiecznych procedur
ActiveX, VBS, Jscript, JS i apletów Java,
c) wysyłanie wiadomości do nadawcy, odbiorcy i administratora,
d) możliwość automatycznego, periodycznego uaktualniania bazy wirusów poprzez Internet,
e) intuicyjny, graficzny interfejs administratora GUI,
f) zgodność ze specyfikacją CVP (Content Vectoring Protocol).
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
5
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
III. Bezpieczny dostęp do zasobów sieci korporacyjnej dla odległych użytkowników
Zapewnienie bezpiecznego dostępu do zasobów systemu informatycznego przedsiębiorstwa z
obszarów sieci zewnętrznych (Internet, inne oddziały firmy) może zostać w stosunkowo prosty
sposób, bez ponoszenia dużych nakładów finansowych uzyskane za pomocą technologii VPN (Virtual
Private Network). Skuteczna i efektywna ochrona informacji w sieciach komputerowych nie jest w
praktyce możliwa bez zaangażowania odpowiednich narzędzi kryptograficznych. Za pomocą technik
szyfrowania oraz tworzenia podpisów cyfrowych dane w sieci VPN zabezpiecza się w zakresie:
poufności, autentyczności, integralności oraz niezaprzeczalności nadania.
Koncepcja budowy sieci VPN polega na tworzeniu logicznych kanałów transmisji danych w
ramach publicznej sieci rozległej, w których przesyłane dane zabezpiecza się zgodnie z przyjętą
polityką bezpieczeństwa. Check Point oferuje także bardziej rozbudowaną funkcjonalnie wersję VPN
znaną pod nazwą Secure Virtual Network (SVN), która również może być brana pod uwagę w trakcie
dalszego rozwoju systemu bezpieczeństwa sieci przedsiębiorstwa. Technicznie, klasyczna sieć VPN
realizuje:
- szyfrowanie danych,
- tunelowanie pakietów,
- kontrolę dostępu do węzłów sieci wirtualnej.
Wyróżnia się trzy podstawowe architektury sieci VPN: Intranet VPN (wirtualna sieć prywatna
pomiędzy lokalnymi i oddalonymi oddziałami korporacji), Remote Access VPN (wirtualna sieć
prywatna pomiędzy korporacją i oddalonymi lub mobilnymi pracownikami) oraz Extranet VPN
(wirtualna sieć prywatna pomiędzy korporacją i zaufanymi partnerami, klientami i dostawcami).
W obecnej sytuacji najbardziej wartościowym zastosowaniem w przedsiębiorstwa wydaje się być
architektura Remote Access VPN, zapewniająca bezpieczny dostęp do usług sieci prywatnej dla
pracowników przebywających poza terenem instytucji (oraz w razie potrzeby zaufanych klientów
i partnerów handlowych).
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
6
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
IV. Kryptograficzna ochrona informacji
Poufne informacje przechowywane i przesyłane w sieci mogą potencjalnie zostać odczytane
przez osoby nieupoważnione, bądz
zmodyfikowane w niepożądany sposób. Skutecznym
zabezpieczeniem w tym zakresie jest zastosowanie technik kryptograficznych wraz z odpowiednimi
standardami (np. S/MIME, SSL, PGP, IPSec/IKE). Wprowadzenie zabezpieczeń kryptograficznych w
korporacjach sprowadza się do wdrożenia infrastruktury klucza publicznego Public Key Infrastructure
(PKI). W mniejszych oraz słabiej zinformatyzowanych instytucjach najczęściej stosowana jest tzw. nie-
zarządzana infrastruktura PKI, w której użytkownicy sami generują swoje klucze i certyfikaty, instalują
je na stacjach roboczych, dbają o ich ważność i bezpieczeństwo, a po wygaśnięciu ważności sami
generują nowe, itd. W tych rozwiązaniach poziom ochrony informacji w znacznej mierze bazuje na
jakości posiadanego oprogramowania użytkowego. Dla przykładu, bezpieczeństwo WWW przy
stosowaniu nie-zarządzanej PKI zależy głównie od dostępnych w przeglądarce algorytmów
kryptograficznych. Warto też wiedzieć, że przeglądarki WWW w ogóle nie sprawdzają list
unieważnionych certyfikatów CRL.
Problemów tych nie stwarza tzw. zarządzana infrastruktura PKI, która  sama dba o klucze
i certyfikaty użytkowników przez cały czas ich życia (m.in. odpowiada za ich aktualizację, kontrolę
dostępu, Back-up). Zasady funkcjonowania zarządzanej PKI zostaną przedstawione na przykładzie
Entrust/PKI. Jest to obecnie najbardziej rozpowszechnione rozwiązanie PKI w systemach finansowo-
bankowych (m.in. e-commerce, home banking). Po wdrożeniu w instytucji Urzędu Certyfikacji
opartego na technologii Entrust/PKI jedyne co użytkownicy powinni zrobić to zainstalować
oprogramowanie Entrust Entelligence i przy pierwszym połączeniu z Urzędem Certyfikacji podać
otrzymany numer referencyjny. Entrust Entelligence umożliwia użytkownikom wykorzystanie usług
kryptograficznych bez konieczności rozumienia ich złożoności. Użytkownik może praktycznie
zapomnieć o certyfikatach i kluczach kryptograficznych, ponieważ wszystko dzieje się w sposób dla
niego przezroczysty. Za każdym razem po włączeniu komputera, bądz
też po przekroczeniu
ustalonego czasu nieaktywności, użytkownik jest poddawany uwierzytelnianiu tożsamości (tzn. podaje
swój identyfikator i hasło) i na tej podstawie  odbezpieczany jest jego profil kryptograficzny (m.in.
klucze szyfrowania i uwierzytelniania). Zarządzana PKI jest więc wygodna dla użytkowników
i równocześnie bezpieczna. Jedyną jej wadą jest relatywnie wysoki koszt wdrożenia, który jednak
zwraca się w trakcie eksploatacji technologii.
Zakres zastosowania PKI jest bardzo szeroki. Profil kryptograficzny Entrust może także zostać
wykorzystany do różnych celów (np. zabezpieczenia plików na dysku, tworzenia kanałów VPN).
Entrust Entelligence integruje się ze środowiskiem Windows 95/98/NT i dostarcza usług
bezpieczeństwa dla wszystkich aplikacji zgodnych ze specyfikacją Entrust-Ready. Do najbardziej
popularnych aplikacji Entrust należą, m.in.:
- Entrust/ICE, Entrust/TrueDelete  zabezpieczanie kryptograficzne oraz bezpieczne usuwanie
plików/danych (zgodnie ze specyfikacjami Departamentu Obrony USA),
- Entrust/Unity, Entrust/Express  środki bezpieczeństwa zarządzanego PKI dodawane do
przeglądarek Microsoft i Netscape oraz klientów poczty Microsoft Exchange, Microsoft Outlook,
QUALCOMM, Eudora Pro Email oraz Lotus Notes, zawierające także wsparcie dla standardu
S/MIME,
- Entrust Security for SAP R/3, Entrust Security for Peoplesoft  środki PKI dedykowane dla
systemów ERP,
- Entrust/Commerce Connector  obsługa certyfikatów SET (Entrust pełni rolę SET CA),
- Entrust/Web Connector  certyfikaty cyfrowe dla przeglądarek i serwerów WWW instalowane
i aktualizowane w trybie on-line,
- Entrust/Direct  szybkie do wdrożenia środki  mocnej kryptografii i PKI dla aplikacji E-Commerce,
- Entrust/VPN Connector  certyfikaty cyfrowe dla urządzeń VPN (np. ruterów Cisco z IPSec/IKE),
- Entrust/Timestamp Server  usługi serwera czasu dla komponentów PKI,
- Entrust Toolkits  zestawy narzędzi do tworzenia własnych aplikacji (m.in. EntrustFile,
EntrustSession, EntrustIPSEC Negotiator, Entrust Toolkit Java Edition, Entrust Toolkit Com
Edition).
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
7
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
V. Zintegrowanie zabezpieczeń rutera Internet z systemem zaporowym Firewall
System bezpieczeństwa sieci komputerowej podłączonej do Internetu, bądz
innej sieci o niskim
poziomie zaufania powinien zawierać wiele warstw ochrony, które uzupełniają i ubezpieczają się
wzajemnie. W systemach narażonych na niepożądane, świadome działanie wykwalifikowanych
 intuzów nie można opierać się tylko na jednaj, nawet najbardziej zaawansowanej warstwie
zabezpieczeń. Zawsze może zdarzyć się bowiem sytuacja, iż zabezpieczenie to zostanie błędnie
skonfigurowane, czasowo wyłączone, bądz
też ulegnie awarii.
Z reguły w systemach o podwyższonych wymaganiach bezpieczeństwa stosowane są
kaskadowe konfiguracje Firewall (złożone z dedykowanych maszyn Firewall Gateway lub/i Firewall
wbudowanych w urządzenia sieciowe). Jeżeli sieć przedsiębiorstwa zawiera tylko jedną warstwę
zabezpieczeń - Check Point FireWall-1 - zalecane jest jej wzmocnienie poprzez wdrożenie
odpowiednich list kontroli dostępu ACL (Access Control List) na ruterze Internet . Nie będzie to
wymagało dużych nakładów finansowych, ponieważ mechanizmy ACL są dostępne w Cisco i innych
popularnych ruterach, a przyczyni się do znacznego wzmocnienia poziomu bezpieczeństwa.
Szczególnie ze względów administracyjnych (m.in. możliwości zcentralizowanego zarządzanie
i analizy zabezpieczeń sieci) zalecane jest zastosowanie narzędzi wspomagających, dostępnych na
konsoli Check Point FireWall-1. Narzędzia te pozwalają na graficzne definiowanie, weryfikowanie
i instalowanie list ACL na ruterze. Dodatkowo zdarzenia rejestrowane na ruterze Internet mogą być na
bieżąco przesyłane poprzez protokół SYSLOG do stacji zarządzającej i tam zapisywane w logu
FireWall-1.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
8
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
VI. Zastosowanie narzędzi wspomagających analizę i raportowanie zdarzeń
Analiza zdarzeń rejestrowanych w systemie Firewall należy do ważnych zadań personelu obsługi
zabezpieczeń. Logi Firewall dostarczają wielu wartościowych informacji dotyczących funkcjonowania
systemu dostępu do Internetu zarówno ze względów bezpieczeństwa jak i poprawności komunikacji.
Logi Firewall umożliwiają m.in.:
- monitorowanie i wykrywanie działań niedozwolonych i podejrzanych (np. próby penetracji
i włamań, ataki destrukcyjne DoS),
- analizowanie wykorzystania sieci (np. wyznaczanie usług o największym zapotrzebowaniu na
pasmo, użytkowników najbardziej obciążających sieć, oszacowanie kosztów użytkowania
sieci),
- identyfikowanie nieprawidłowo działających elementów sieci (np. niepoprawnie
skonfigurowanego serwera DNS, mechanizmu NAT na ruterze, czy agenta SNMP).
Polityka bezpieczeństwa z reguły wymaga prowadzenia dokładnej analizy zdarzeń, co dla sieci
korporacyjnych, gdzie dzienny rozmiar logu może osiągnąć rozmiar kilku MB nie jest łatwe. W takich
przypadkach jedynym rozwiązaniem jest zastosowanie odpowiednich narzędzi wspomagających.
Zarządzanie logów obejmuje przedsięwzięcia związane z tworzeniem zasad rejestrowania zdarzeń
(np. co powinno być zapisywane i w jakim zakresie) oraz bieżącej ich obsługi. Obsługa zdarzeń
realizowana najczęściej przez administratorów Firewall sprowadza się do następujących czynności:
- analiza zarejestrowanych zdarzeń,
- tworzenie raportów i statystyk,
- kontrola dopuszczalnego rozmiaru logu,
- kontrola poprawności konfiguracji i funkcjonowania mechanizmów zapisu zdarzeń,
- archiwizowanie  starych logów.
Administrator FireWall-1 dysponuje w tym zakresie graficzną aplikacją Log Viewer, umożliwiającą
sprawne przeglądanie, przeszukiwanie i sortowanie zapisów. Za pomocą Log Viewer można m.in.
zidentyfikować próby włamań i penetracji sieci, ustalić najczęściej wykorzystywane serwery i usługi
oraz dokonać rozliczenia poszczególnych użytkowników (tj. z jakich serwerów i usług korzystali, w
jakim czasie to robili, jak dużo danych przesłali w sieci, jakie pliki kopiowali, itp.). Oprócz możliwości
przeglądu zarejestrowanych zdarzeń, Log Viewer umożliwia także obserwowanie aktualnie otwartych
połączeń sieciowych przechodzących przez Firewall. Jeżeli administrator zauważy, że określone
połączenie nie jest zgodne z przyjętą polityką bezpieczeństwa to może je  zabić i na wyznaczony
czas zablokować dostęp komputerowi, który to niedozwolone połączenie zainicjował.
Logi przeglądane w Log Viewer mogą zostać zapisane do pliku formatu ASCII i dalej
przetwarzane za pomocą innych narzędzi (np. arkuszy kalkulacyjnych, aplikacji baz danych)
lub przesyłane w czasie rzeczywistym do innych systemów poprzez protokół LEA (Log Export API).
Poprzez protokół LEA logi FireWall-1 mogą być na bieżąco odbierane przez aplikacje WebTrends
Firewall Suite. Pakiet WebTrends Firewall Suite (znany wcześniej pod nazwą WebTrends for Firewalls
& VPNs) jest obecnie najbardziej renomowanym narzędziem w kategorii systemów wspomagania
raportowania i analizy logów Firewall. Rozwiązanie to w czasie rzeczywistym obsługuje logi Check
Point FireWall-1, tworząc na żądanie różnego rodzaju raporty i statystyki (graficzne, tekstowe,
zagadnieniowe, itp.).
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
9
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
VII. Zastosowanie narzędzi wspomagających wykonywanie audytów bezpieczeństwa
Przedsięwzięcia polityki bezpieczeństwa związane z utrzymywaniem założonego poziomu
ochrony systemu informatycznego wymagają stałego zaangażowania ze strony personelu obsługi
zabezpieczeń. Z uwagi na dużą liczbę i czasochłonność związanych z tym zadań oraz ograniczone
możliwości personelu (często posiadającego wiele innych zadań) konieczne staje się
zautomatyzowanie podstawowych procesów obsługi zabezpieczeń. Jest to możliwe poprzez
zastosowanie odpowiednio dobranych i przygotowanych (skonfigurowanych) narzędzi.
Jednym z ważnych zadań personelu obsługi zabezpieczeń jest audyt bezpieczeństwa. Testy
zabezpieczeń wykonuje się w celu sprawdzenia, czy spełnione są wszystkie wymogi określone w
polityce bezpieczeństwa. W audytach bezpieczeństwa badana jest m.in. potencjalna możliwość
ominięcia zabezpieczeń poprzez wykorzystanie błędów w założeniach projektowych, konfiguracji lub
oprogramowaniu, jak również reakcja systemu w momencie wykrycia prób niepowołanego dostępu.
Audyty bezpieczeństwa wykonuje się regularnie (np. 2 razy w miesiącu) oraz w razie zaistnienia takiej
potrzeby (zmiana konfiguracji systemu, aktualizacja oprogramowania, podejrzenie o włamanie).
Audyty bezpieczeństwa sieci korporacyjnych podłączonych do Internetu są wspomagane za
pomocą profesjonalnych skanerów zabezpieczeń. Najbardziej renomowanym na rynku rozwiązaniem
tej klasy jest ISS Internet Scanner.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
10
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
VIII. Zarządzanie rozdziałem pasma sieci dla protokołów, użytkowników i usług
System dostępu do Internetu sieci przedsiębiorstwa może zostać dodatkowo wyposażony w
mechanizmy dynamicznego rozdziału pasma sieci, zapewniające prawidłowe działanie biznesowych
aplikacji firmy, nawet w momentach dużego obciążenia sieci. Do tego celu najbardziej uzasadnione
wydaje się zastosowanie produktu Check Point FloodGate-1, który zainstalowany na jednej maszynie
z FireWall-1 będzie współdzielić tą samą, już zdefiniowaną bazę danych (tzn. zbiór zdefiniowanych
obiektów sieciowych, itd.). Zarządzanie FireWall-1 i FloodGate-1 odbywa się z jednej, zintegrowanej
konsoli zarządzającej GUI za pomocą dedykowanych protokołów (sesje zabezpieczone
kryptograficznie).
Pewne ograniczenie skutków przeciążenia sieci można także uzyskać poprzez zastosowanie
mechanizmów kolejkowania pakietów na ruterze Cisco. Jest to jednak rozwiązanie mało elastyczne
i nieefektywne. Rutery nie mogą zapewnić optymalnego wykorzystania przepustowości sieci,
ponieważ  nie rozumieją ruchu sieciowego (np. nie umieją odróżnić tekstu od grafiki przesyłanej
w ramach WWW, itp.) i nie potrafią analizować pakietów danych w kontekście całości komunikacji
sieciowej.
Rozdział pasma sieci realizowany przez FloodGate-1 odbywa się wewnątrz jądra systemu
operacyjnego Windows NT na poziomie warstw łącza danych i sieci (warstwy 2 i 3 modelu OSI),
powodując znikome opóz
nienia transferu danych (tzn. <2ms w nieobciążonej sieci). Zastosowanie
mechanizmu RDED (Retransmission Detection Early Drop) może znacząco poprawić wydajność
funkcjonowania systemu dostępu do Internetu w stanach przeciążenia sieci. Mechanizm RDED
wykrywa i blokuje nadmiarowe retransmisje strumieni TCP (tzn. odrzuca retransmitowane pakiety,
których kopie znajdują się w kolejce).
Polityka zarządzania przepływem danych w sieci zdefiniowana za pomocą FloodGate-1 składa
się z hierarchicznego zbioru reguł. Każda reguła może obejmować następujące ustalenia:
dane identyfikujące połączenia sieciowe:
- rodzaj usługi (protokół, URL, itp.),
- klient i serwer usługi (komputery, sieci, domeny),
- kierunek przepływu danych,
sposób przydziału pasma sieci dla połączeń:
- waga połączenia
(szerokość pasma sieci przydzielona dla określonego połączenia zmienia się
dynamicznie w zależności od wartości wag wszystkich aktualnie otwartych połączeń),
- gwarantowana szerokość pasma sieci,
- limit przydziału pasma sieci,
- inne ustalenia.
Stacja zarządzająca systemu jest wyposażona w mechanizmy szczegółowego monitorowania
komunikacji sieciowej, za pomocą których administrator może w czasie rzeczywistym analizować stan
komunikacji i obciążenia sieci, a w razie potrzeby na bieżąco modyfikować zasady przydziału pasma
pomiędzy protokoły, aplikacje i użytkowników.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
11
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
IX. Ochrona systemu zabezpieczeń Firewall przed awariami sprzętowymi i programowymi
Zapewnienie stałej dostępności usług systemu informatycznego jest ważnym kryterium
bezpieczeństwa, mającym w wielu instytucjach duże znacznie, często bardziej istotne od pozostałych
kryteriów: poufności, autentyczności, integralności, czy niezaprzeczalności działania. Dostępność
usług systemu informatycznego podłączonego do sieci Internet zależy od wielu różnych czynników
(np. urządzeń sieciowych, łącz transmisyjnych, systemów zabezpieczeń). Z uwagi na specyfikę
środowiska Internet, szczególnie istotnym elementem mającym wpływ na dostępność systemu są
środki bezpieczeństwa zastosowane do ochrony serwerów usług przed niepożądanym działaniem
złośliwych użytkowników Internetu, potocznie nazywanych hakerami. Podstawowym elementem
zabezpieczeń sieciowych odpowiedzialnym za odpieranie tego typu ataków jest system zaporowy
Firewall. Ważne jest więc, aby Firewall posiadał środki zabezpieczające go przed awariami
sprzętowymi i programowymi.
Konfiguracje systemów Firewall zawierające mechanizmy ochrony przed awariami określane są
terminem High Availability (HA). W konfiguracji HA system zaporowy składa się z dwóch lub więcej
maszyn Firewall, które kontrolują się wzajemnie i w razie wystąpienia awarii przejmują zadania
uszkodzonej maszyny bez utraty otwartych połączeń sieciowych. Wchodzące w skład HA maszyny
Firewall są odpowiednio ze sobą zsynchronizowane oraz w większości konfiguracji posiadają także
mechanizmy wykrywania awarii i automatycznego przejmowania zadań uszkodzonej maszyny.
W instytucjach korzystających, bądz
planujących wykorzystanie połączeń VPN zalecane jest,
aby wersja VPN-1/FireWall-1 4.0 została poddana procedurze Upgrade do obecnej wersji Check Point
2000. Wersja ta posiada znacznie większe możliwości w zakresie ochrony połączeń VPN oraz jest
łatwiejsza w konfiguracji i utrzymaniu. W instytucjach, które oprócz niezawodnego połączenia z
Internet (tzn. Firewall odpornego na awarie) wymagają także dużej przepustowości tego połączenia
zalecane jest zastosowanie StoneBeat FullCluster for FireWall-1. Oprogramowanie StoneBeat
FullCluster posiada możliwości budowania klastrów złożonych z wielu maszyn FireWall-1, które
dynamicznie równoważą pomiędzy sobą obciążenie sieci. Klaster FireWall-1 oparty na StoneBeat
FullCluster widziany jest w sieci jako jedno urządzenie (jeden IP) i dzięki temu nie ma komplikacji w
konfiguracji rutingu. Zbudowanie klastra FireWall-1 z wykorzystaniem tego oprogramowani nie
wymaga żadnych dodatkowych urządzeń. W razie potrzeby do klastra FireWall-1 można dołożyć
nową maszynę bez konieczności rekonfiguracji pozostałych Firewall.
Zaproponowana technologia StoneBeat charakteryzuje się dużą efektywnością i niezawodnością.
Zastosowanie modułu StoneBeat nie jest jednak konieczne. Dla przykładu konfiguracja z
współdzieleniem obciążenia sieci  load sharing może zostać wdrożona tylko za pomocą FireWall-1,
który posiada wbudowane mechanizmy synchronizacji. Dla instytucji, które decydują się na wdrożenie
konwencjonalnej konfiguracji  hot stand-by (jedna maszyna aktywna i jedna zapasowa), Check Point
w najnowszej wersji VPN-1/FireWall-1 zaproponował własną, pełnowartościową implementację HA w
postaci modułu High Availability. Dużą zaletą tego rozwiązania jest to, iż narzędzia do zarządzania
tego modułu są zintegrowana z innymi narzędziami dostępnymi w konsoli zarządzania VPN-
1/FireWall-1 Management Console GUI.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
12
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Techniczne zagadnienia ochrony systemów informatycznych
X. System  mocnego uwierzytelniania użytkowników oraz Single SignOn
Do wdrożenia systemu wiarygodnego uwierzytelniania tożsamości użytkowników należy wybrać
renomowane i sprawdzone rozwiązanie, np. ACE/Server firmy Security Dynamics. Użytkownicy usług,
które będą podlegały uwierzytelnianiu w systemie zaporowym Firewall zostaną wyposażeni w
specjalne karty identyfikacyjne SecurID. Rozwiązanie firmy Security Dynamics jest zdecydowanie
najczęściej wybieranym produktem do zastosowań o podwyższonych wymaganiach bezpieczeństwa.
W razie podjęcia decyzji o wyborze produktu innego od ACE/Server należy brać pod uwagę tylko
produkty znajdujące się na liście Check Point OPSEC, np.: ActivCard, Axent Defender, Blockade,
CRYPTOServer, Steel-Belted Radius, TraqNet 8000 SafeAccess, SiteMinder, SafeWord.
Utrzymywanie w systemie zabezpieczeń Firewall odrębnej bazy danych dla użytkowników
poddawanych uwierzytelnianiu w czasie dostępu do usług Internetu jest czasochłonne i często
nieuzasadnione, jeżeli baza ta już istnieje na serwerach w sieci prywatnej. W sieci przedsiębiorstwa
baza użytkowników systemu informatycznego jest utrzymywana na serwerach Windows NT.
Istnieje możliwość zintegrowania systemu Windows NT z Check Point FireWall-1 poprzez
zastosowanie pakietu Check Point Meta IP. W takiej konfiguracji użytkownik zalogowany w domenie
NT nie musi drugi raz podawać hasła na FireWall-1 w momencie wyjścia do Internet (jeżeli oczywiście
zdefiniowana na Firewall polityka bezpieczeństwa mu na to pozwala). Co najważniejsze ww.
konfiguracja nie wymaga definiowania bazy użytkowników na FireWall-1, co jest dużym
usprawnieniem pracy administratorów systemu. Poniższy rysunek przedstawia koncepcję takiego
rozwiązania. System składa się z następujących komponentów:
- Meta IP Manager  centralna stacja zarządzania (zainstalowana na maszynie Windows NT)
wyposażona w bazę danych UAM, udzielająca informacji na temat zalogowanych
użytkowników sieci dla innych systemów (np. FireWall-1),
- UAT  moduł zainstalowany na kontrolerze domeny NT odpowiedzialny na przekazywanie do
Meta IP Manager informacji na temat zalogowanych i wylogowanych użytkowników,
- Meta IP DHCP  serwer DHCP (zainstalowany na maszynie Windows NT) przekazujący do
Meta IP Manager informacje na temat przydzielonych i zwolnionych adresów IP.
Dla wszystkich systemów zabezpieczeń Check Point, Internet Security Systems i Entrust
przedstawionych w opracowaniu CLICO zapewnia pomoc techniczną oraz specjalistyczne szkolenia.
Więcej informacji na ten temat można uzyskać na stronach http://www.clico.pl.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
13
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl