Hálózatbiztonság – Az átlátható hálózat előnye

Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
2. rész: Network Packet Broker

A legtöbb vállalat hálózatában rendkívül sok olyan dolog történik, amelyről nem igazán tud senki. Mi lehet az előnye annak, hogy a hálózatunk forgalmába mélyen beleláthatunk? Például elkerülhetjük a hálózatunkba kerülő kompromittált rendszerek adatszivárogtatását. Mi az oka annak, hogy egyes vállalatok rendkívüli pénzösszegeket költenek IT biztonságra, de a forgalom figyelése és elemzése még mindig sok esetben túlmutat a szervezet képességein? Ilyen és ehhez hasonló kérdésekre keresem a válaszokat a mai írásomban.

A támadások evolúciója

Amikor a rendszereink biztonságáról beszélünk, jellemzően elsőre mindenkinek vagy a végpontvédelem (anti-vírus, AV) vagy a határvédelem (tűzfal, FW) jut eszébe, pedig ugyanekkora szerepet játszanak a mai világban a behatolást érzékelő (IDS) és megakadályozó (IPS) megoldások, vagy az úgynevezett új generációs tűzfalak (NGFW) is. Ahogy a fenyegetések változtak, úgy változnak rájuk adott  válaszként a biztonsági rendszerek is. Míg a 2000-es évekig megjelent támadások esetén elég volt a végponton és az internetes kijáraton védeni magunkat, az elmúlt időszak megmutatta azt, hogy a hálózatunkon belül is szükség van erre.

Fontos a láthatóság

A fenti ábrán látható fejlődés (vagy más néven az IT biztonsági macska-egér játszma) érdekessége, hogy míg AV és FW rendszerek lényegében minden szervezetnél léteznek, IDS/IPS és NGFW eszközök már jóval kevésbé elterjedtek. Ennek a fő oka ezen biztonsági eszközök telepítésében van: a megfelelő hatás eléréséhez magukon az eszközökön a hálózati forgalomnak át kell mennie (inline telepítés). Az inline telepítés ellen a hálózatüzemeltetés egy csomó érvet fel tud hozni:

• csökkentheti a hálózat megbízhatóságát
• a hálózati hibakeresést nehezítheti
• a biztonsági eszköz hibája vagy tervezett karbantartása az egész hálózat leállásával jár
• a biztonsági eszköz átviteli teljesítménye korlátozhatja a hálózati sebességet, vagy nagyon drágává teszi az eszközt a hálózati sebesség elvárása
• többféle biztonsági eszköz beszerelése nehézkes, további késleltetést eredményezhet
• drága és bonyolult rendszert hozunk létre, melyben egy hálózati újratervezés aránytalanul költséges és bonyolult feladat lesz

Igazuk van, fenti problémák valóban felmerülhetnek, de vajon mi a megoldás? Hogyan tudjuk a hálózat megbízhatóságának kockáztatása nélkül monitorozni a forgalmat?

Adjátok meg a császárnak, ami a császáré, és Istennek, ami az Istené!

Ahogy az a fenti példabeszéd is mondja, válasszuk szét a felelősségi köröket és a napi üzem biztosításának felelőssége maradjon a hálózatos csapatnál! Erre a bypass switch nyújt megoldást, ami egy kifejezetten magas rendelkezésre állású hálózati eszköz, melyre a biztonsági eszközünket rá tudjuk fűzni. A bypass switch működésének lényege , hogy aktívan ellenőrzi, hogy a rákötött biztonsági eszköz elérhető-e, és amennyiben nem, átvált “bypass” üzemmódba, és a biztonsági eszközt megkerülve átengedi magán a forgalmat (ugyanez történik, ha a bypass switch elveszti az áramforrását, egy relé azonnal összekapcsol és a forgalom áthalad rajta). Működhet még “tap” üzemmódban is, amely egy IDS rendszernek tud megfelelő forgalmat átadni.

A fenti felsorolás első három pontját ezzel a megoldással kipipálhatjuk, de mi a helyzet a másik három ponttal? Erre a választ a packet collector vagy packet broker megoldás fogja adni, mely a jövő heti írásom témája lesz.