Strategie i techniki ochrony systemów informatycznych
Inną chociaż bardzo kontrowersyjną techniką wczesnego wykrywania zagrożeń jest stosowanie rozwiązań określanych jako „honeypot”. Są to najczęściej specjalnie przygotowane komputery, które symulują rzeczywiste środowisko systemu informatycznego i mają za zadanie dokładnie rozpoznać działania intruzów. Dla instytucji zajmujących się bezpieczeństwem „honeypot” może być źródłem praktycznej wiedzy na temat nowych zagrożeń i technik hakerów. Dla zwykłej firmy stosowanie takich rozwiązań jest jednak zbyt ryzykowne. Łatwo wyobrazić sobie sytuację, że system „honeypot” nie został poprawnie przygotowany i intruz przejął nad nim kontrolę, a następnie wykonał z tego systemu serię ataków na serwery innych korporacji (np. banki, instytucje rządowe). W rejestrach zabezpieczeń tych systemów znajdą się wtedy informacje skąd zostały wykonane ataki, a właściciel „honeypot” może mieć spore trudności w wykazaniu, że ataków nie dokonali jego pracownicy.
Systemy informatyczne funkcjonują coraz częściej w sieciach o wysokiej przepustowości (np. Gigabit Ethernet). Wymaganiem stawianym zabezpieczeniom jest nie tylko wysoki poziom bezpieczeństwa chronionych zasobów, ale także wydajność. Zabezpieczenia nie powinny zakłócać pracy aplikacji, powodując np. duże opóźnienia transmisji danych. Najbardziej newralgicznym w zakresie wydajności elementem zabezpieczeń są systemy zaporowe Firewall. Filtracja pakietów, w tym także realizowana na poziomie sieci kontrola Statefull Inspection nie powodują znaczącego obniżenia wydajności. Nie pozwalają one jednak na wykonywanie precyzyjnej kontroli aplikacji sieciowych (np. uwierzytelnianie i rozliczanie użytkowników, blokowanych niedozwolonych poleceń i danych aplikacji). Systemy zaporowe funkcjonujące na poziomie aplikacji, określane jako Firewall Proxy lub Application Gateway mają w tym zakresie większe możliwości. Obsługa ruchu sieciowego na poziomie aplikacji powoduje jednak duże opóźnienia aplikacji sieciowych. Oprócz tego zabezpieczenia Firewall funkcjonują wtedy jako procesy w systemie operacyjnym i obowiązują je wszystkie związane z tym ograniczenia (np. ograniczona liczba deskryptorów plików dla jednego procesu, ograniczona liczba procesów na maszynie Firewall, ograniczone możliwości synchronizacji stanu procesów w klastrze Firewall).
Wiodące na rynku rozwiązania to systemy hybrydowe integrujące różne technologie -Statefull Inspection, Application Gateway oraz Intrusion Detection. Powszechnym stało się także implementowanie razem z Firewall modułów kryptograficznej ochrony transmisji danych VPN. W zależności od potrzeb aktywowane są odpowiednie zabezpieczenia tak, aby zapewnić wymagany poziom ochrony nie powodując przy tym ograniczeń dostępności. Dodatkowo producenci zabezpieczeń Firewall stosują różne techniki programowego i sprzętowego przyspieszania pracy zabezpieczeń. Programowe przyspieszenie pracy Firewall polega na wykonywaniu podstawowych algorytmów kontroli ruchu sieciowego na niskim poziomie jądra systemu operacyjnego. Sprzętowe podejście to implementacja algorytmów zabezpieczeń w formie układów scalonych ASIC (Application Specific Integrated Circuit). Uzyskuje się w ten sposób przepływności Firewall nawet rzędu 12 Gb/s.
Jeden producent nie jest w stanie dostarczać wszystkich rodzajów zabezpieczeń. Dlatego też czołowi producenci zabezpieczeń sieciowych utworzyli porozumienia biznesowe z dostawcami innych zabezpieczeń (np. Check Point OPSEC, Cisco AWID Partner Program, NetScreen Global Security Alliance). W oparciu o nie rozwijane są kompatybilne zabezpieczenia, rozszerzające funkcjonalność systemu ochrony (m.in. Firewall o kontrolę antywirusową, uwierzytelnianie użytkowników i obsługę PKI).
© 2003 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 6