Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
2. rész: Network Packet Broker
A legtöbb vállalat hálózatában rendkívül sok olyan dolog történik, amelyről nem igazán tud senki. Mi lehet az előnye annak, hogy a hálózatunk forgalmába mélyen beleláthatunk? Például elkerülhetjük a hálózatunkba kerülő kompromittált rendszerek adatszivárogtatását. Mi az oka annak, hogy egyes vállalatok rendkívüli pénzösszegeket költenek IT biztonságra, de a forgalom figyelése és elemzése még mindig sok esetben túlmutat a szervezet képességein? Ilyen és ehhez hasonló kérdésekre keresem a válaszokat a mai írásomban.
A támadások evolúciója
Amikor a rendszereink biztonságáról beszélünk, jellemzően elsőre mindenkinek vagy a végpontvédelem (anti-vírus, AV) vagy a határvédelem (tűzfal, FW) jut eszébe, pedig ugyanekkora szerepet játszanak a mai világban a behatolást érzékelő (IDS) és megakadályozó (IPS) megoldások, vagy az úgynevezett új generációs tűzfalak (NGFW) is. Ahogy a fenyegetések változtak, úgy változnak rájuk adott válaszként a biztonsági rendszerek is. Míg a 2000-es évekig megjelent támadások esetén elég volt a végponton és az internetes kijáraton védeni magunkat, az elmúlt időszak megmutatta azt, hogy a hálózatunkon belül is szükség van erre.
Fontos a láthatóság
A fenti ábrán látható fejlődés (vagy más néven az IT biztonsági macska-egér játszma) érdekessége, hogy míg AV és FW rendszerek lényegében minden szervezetnél léteznek, IDS/IPS és NGFW eszközök már jóval kevésbé elterjedtek. Ennek a fő oka ezen biztonsági eszközök telepítésében van: a megfelelő hatás eléréséhez magukon az eszközökön a hálózati forgalomnak át kell mennie (inline telepítés). Az inline telepítés ellen a hálózatüzemeltetés egy csomó érvet fel tud hozni:
- csökkentheti a hálózat megbízhatóságát
- a hálózati hibakeresést nehezítheti
- a biztonsági eszköz hibája vagy tervezett karbantartása az egész hálózat leállásával jár
- a biztonsági eszköz átviteli teljesítménye korlátozhatja a hálózati sebességet, vagy nagyon drágává teszi az eszközt a hálózati sebesség elvárása
- többféle biztonsági eszköz beszerelése nehézkes, további késleltetést eredményezhet
- drága és bonyolult rendszert hozunk létre, melyben egy hálózati újratervezés aránytalanul költséges és bonyolult feladat lesz
Igazuk van, fenti problémák valóban felmerülhetnek, de vajon mi a megoldás? Hogyan tudjuk a hálózat megbízhatóságának kockáztatása nélkül monitorozni a forgalmat?
Adjátok meg a császárnak, ami a császáré, és Istennek, ami az Istené!
Ahogy az a fenti példabeszéd is mondja, válasszuk szét a felelősségi köröket és a napi üzem biztosításának felelőssége maradjon a hálózatos csapatnál! Erre a bypass switch nyújt megoldást, ami egy kifejezetten magas rendelkezésre állású hálózati eszköz, melyre a biztonsági eszközünket rá tudjuk fűzni. A bypass switch működésének lényege , hogy aktívan ellenőrzi, hogy a rákötött biztonsági eszköz elérhető-e, és amennyiben nem, átvált “bypass” üzemmódba, és a biztonsági eszközt megkerülve átengedi magán a forgalmat (ugyanez történik, ha a bypass switch elveszti az áramforrását, egy relé azonnal összekapcsol és a forgalom áthalad rajta). Működhet még “tap” üzemmódban is, amely egy IDS rendszernek tud megfelelő forgalmat átadni.
A fenti felsorolás első három pontját ezzel a megoldással kipipálhatjuk, de mi a helyzet a másik három ponttal? Erre a választ a packet collector vagy packet broker megoldás fogja adni, mely a jövő heti írásom témája lesz.
Egy gondolat a(z) “Hálózatbiztonság – Az átlátható hálózat előnye” című bejegyzésnél