Още един полицай в мрежата

Съвременните комутатори за локални мрежи се отличават не само с производителност, но и с плътност на портовете и почти безкраен списък от функции за прехвърляне на данните, маршрутизация и управление.

Все повече внимание обаче се обръща на сигурността. Реално погледнато, всички известни производители разработват собствени стратегии за гарантиране на сигурността, но в практиката преобладават изолираните мерки.

През последните години за решаването на такива належащи задачи, като обработката на гласов трафик на базата на комутацията на пакети (Voice over IP, VoIP), разработчиците започнаха да снабдяват комутаторите с функции за гарантиране на висока отказоустойчивост, назначаване на приоритети, управление на виртуални локални мрежи и пропускателна способност, както и захранване през Ethernet (Power over Ethernet, PoE).

Наред с комутаторите от висш и среден клас, днес такива възможности за управление и PoE предлагат и многобройни продукти от по-ниския пазарен сегмент. Конвергентната локална мрежа с висока степен на готовност обаче изисква наличието на последователни взаимосвързани механизми за сигурност. В крайна сметка е необходимо да се предотвратят “ужасните” сценарии, при които, например, атаки от вида “отказ от обслужване” блокират и трафика на данни, и гласовата връзка.

Ето защо почти всички известни производители на комутатори разработват собствени стратегии и концепции за сигурност. Независимо дали става дума за Self-Defending Network (Cisco), Edge Fabric (Hewlett-Packard) или Crystalsec (Alcatel), всичко се свежда до това, че мрежовата инфраструктура на бъдещето трябва да е сама по себе си изключително добре защитена, за да не бъде напразно усилието по реализиране на стратегията за конвергенция.

Цел: Непосредствена сигурност

“Функциите на сигурността се пренасят от опорната част на инфраструктурата към периферията, все по-близо до крайните устройства”, твърди Клаус Ленсен, специалист по сигурността в Cisco. При недостатъчна защита или липса на управление крайните устройства могат да навредят на работоспособността на мрежата и в крайна сметка на бизнес процесите.

А според Мартин Крауш, главен системен инженер на Alcatel, сега е “крайно необходимо” след идентифициране на потенциалната атака комутаторите от локалната мрежа да изолират атакуващия и да блокират нежелания трафик.

Що се отнася до възможностите за поставяне на потенциалните агресори под карантина, то в свое изследване, проведено през есента на 2004 г. анализаторите от Forrester отбелязват видими разлики в решенията на различните производители.

“В първата фаза на мрежовата карантина се използва подход на базата на клиента. С изключение на продуктите на Enterasys и Alcatel, всички други доставчици имат нужда от втори етап за постигане на нужното ниво на зрялост, за да могат мрежовите маршрутизатори и комутатори да участват активно в карантината на хостовете с потенциални вируси и “червеи” (виж. Фиг. 1).

Ключово значение при прехвърлянето на защитните функции към мрежовите устройства има фактът, че класическият модел за защита от атаки отвън (сигурност по периметъра) не е с нужния обхват. Често, нарочно или случайно, служителите по места нарушават правилата за сигурност.

“Служителите отнасят лаптопите у дома, където им се лепва вирус, след което той се разпространява по цялата корпоративна мрежа”, казва Гари Хемингър, маркетингов директор на компанията Foundry.

Според Маркус Ниспел, технически директор на Enterasys, функциите за сигурност на комутаторите в локалната мрежа дават «инструмент за контрол на самия вход на мрежата, което дава далеч по-богати възможности от тези на обикновената защитна стена“.

Високите изисквания на вградената мрежова сигурност налагат предприемането на редица сложни мерки. Архитектурата на комутаторите трябва да гарантира високо ниво на готовност, кодът на операционната система да удовлетворява стандартите за качествена защита, а достъпът на администратора до комутатора да бъде внимателно следен.

В зависимост от подхода на производителя на крайни комутатори, се предписват различни роли на устройствата на ниво разпределение и в мрежовото ядро - от разпознаване и блокиране на случаите на неправомерен достъп чрез взаимодействие с оборудването на гарантиране на сигурност до ограничаване или блокиране на необичайните и потенциално опасни потоци от данни.

През интерфейсите на операционната система комутаторът насочва огледален трафик за анализ към системата за откриване или предотвратяване на атаки (Intrusion Detection/Prevention System, IDS/IPS) и реагира на получения резултат. Възможностите за взаимодействие между мрежовите устройства, оборудването за гарантиране на сигурност и крайните устройства от страна на клиента имат огромно значение, но досега реализациите са по-скоро изолирани и зависят от стратегията на конкретния производител.

Важна роля в подобряването на съвместимостта играят независими инициативи като контролът върху достъпа до мрежата (Network Access Control, NAC), защитата на достъпа до нея (Network Access Protection, NAP) или групата за взаимно доверие (Trusted Computing Group).

Инициативата на Cisco NAC залага на проверка на програмното обезпечение на крайните клиентски устройства (виж. Фиг.2), а с помощта на NAP компанията Microsoft смята да създаде стандарт де факто за проверка на целостността на клиента. Компанията решава този проблем от доста време заедно с HP, IBM, Intel и AMD в рамките на консорциума Trusted Computing Group.

Неотдавна заедно с обединението за сигурност при VoIP (Voice over IP Security Alliance, VoIPSA) към него се присъедини и група, включваща Avaya, Siemens и Alcatel.

Многостепенна концепция за сигурност

Може би най-всеобхватната последователна концепция за сигурност в момента е Crystalsec Information Security Framework на Alcatel. При този подход се осъществява разделяне на нуждите от сигурност на три сегмента - “сигурност на устройството” (т.е. на самия комутатор), “сигурност до устройството” (т.е. на връзката с комутатора) и “сигурност чрез устройството” (на трафика на данни).

В първото понятие се включват способността на комутатора да се съпротивлява на DoS атаките и изключването на “черните ходове”. Към втория сегмент се отнасят надеждните управляващи съединения по кодирани комуникационни маршрути чрез SNMPv3, SSL или SSH, както и “разделното управление”, т.е. временното или качествено ограничаване на правата за достъп на различни администратори до изпълняването или приемането на отделни групи команди на определени портове.

Що се отнася до “сигурността чрез устройството”, тя обхваща удостоверяването на потребителите чрез име и парола или данни за компютъра (IP и МАС адреси, битови подписи и т.н.). Към тях се прибавят стандартни механизми, като списъци за контрол на достъпа (Access Control List, ACL) и записване на автентифицираните потребители в определени работни групи с помощта на виртуални мрежи.

Според Мартин Крауш в системите на Alcatel могат да се проверяват и други данни за компютъра чрез проста автентификация на портовете на база 802.1х, активирайки вирусното сканиране или актуалното обновяване на вирусните подписи. Ако компютърът не отговаря на профила за сигурност на компанията, потребителят автоматично бива прехвърлен в карантинната област, където самостоятелно прави нужното обновяване.

В момента, в който системата му вече отговаря на централно зададения профил за сигурност, комутаторът автоматично я допуска в съответната виртуална мрежа. Определените като потенциални агресори потребители пък биват локализирани и трафикът им се блокира на ниво порт.

Аналогична е и целта на Cisco и неговата “самоотбраняваща се мрежа” — Self-Defending Network. Концепцията има четири области – надежден пренос, защита на мрежата, проверка на съдържанието и защита на крайните устройства (виж Фиг. 3). Cisco залага на собствени комутатори, маршрутизатори и защитни стени, а в рамките на NAC и на агенти от страна на клиентите (Cisco Security Agent, CSA 4.5).

Модулът за управление на комутаторите Supervisor 32 на Cisco разполага с множество функции за гарантиране на сигурността, сред които апаратно ограничаване на скоростта на второ и трето ниво, защита на пускащия IP (snooping DHCP), ACL на всеки порт, качество на услугите (Quality of Service, QoS) на базата на МАС, защита на управлението (ограничаване на скоростта на свързване с плоскостта за управление) и 802.1х, включително специални разширения. По данни на компанията комутаторите от серия Catalyst с Supervisor Engine 32 и Policy Feature Card 3 (дъщерна карта на Supervisor) могат да отразят над 20 варианта на DoS атаки. Безотказната работа с превключване в случай на отказ за по-малко от 1 секунда гарантира непрекъсваем пренос на данните (Nonstop Forwarding, NSFO) и контекстно превключване (Stateful Switehover, SSO).

С цел защита от поява на нежелани крайни устройства Enterasys, също като Cisco, следва подхода на базата на клиента, но без самия клиент. Той предполага използване на двупосочни комуникации с външно сканиране за уязвимости — Nessus или BindView.

“Динамичната реакция при нахлуване” блокира случаите на опасен достъп директно на самия порт за достъп, но проверката на статуса на вирусното сканиране на компютъра се извършва от агент.

Маркус Ниспел от Enterasys отбелязва, че автентифицирането по стандарта 802.1х е с ограничени възможности. “Конвергентните решения все по-често ще изискват включване на хетерогенни крайни устройства към мрежата, които също ще трябва се автентифицират“, казва той. В този случай важни компоненти стават автентификация на базата на МАС и Web, както и откриването на крайната медия точка чрез протокола за откриване на канално ниво (Link Layer Discovery Protocol — Media Endpoint Discovery, LLDP-MED).

Комутаторите Enterasys поддържат различни методи за автентификация, както и няколко потребители и правила на всеки порт. Alcatel планираше да представи нещо подобно в началото на тази година. Nortel се ориентира към предоставяне на услуги в зависимост от потребителя, както и на 802.1х на базата на Multi-MAC. Така всеки потребител според резултатите от процедурата за регистрация в съответствие с 802.1х на който и да е порт от комутатора получава еднакви свойства на сигурност и QoS.

Сигурността обаче не се изчерпва със защитата на достъпа. В зависимост от концепцията на производителя тя се гарантира чак до ядрото. Комутатор маршрутизаторът Black Diamond 10000 на Extreme, например, предлага операторски функции с виртуална маршрутизация, като за увеличаване на нивото на сигурност той може да дели ядрото на няколко логически мрежи от трето ниво.

Много планове, сходни цели

Мрежовата стратегия на Сisco “Интелигентна информационна мрежа” (Intelligent Information Network, IIN) се стреми към все по-голяма интеграция. След етапа на интегрирането на преноса на данни, глас и образ с помощта на виртуализирането на мрежови ресурси идва ред на интегрирането на услугите, като крайната цел е интегрирането на приложения с непосредствено ориентирани към тях мрежови услуги. Какво предлага Cisco? Главният товар по гарантирането на сигурността пада на плещите на специализираните модули на комутаторите на ядрото.

Както отбелязва Клаус Ленсен, днес комутаторите разполагат с модули за сигурност с функции като защитна стена, VPN, IDS/IPS, разпознаване и предотвратяване на DDoS (разпределение на атака от тип DoS), а механизмите за гарантиране на готовност предвиждат външно и вътрешно резервиране на шасито и превръщат комутаторите във високопроизводителни специализирани устройства, гарантиращи необходимото ниво на сигурност. Alcatel насочва усилията си към разширяване на независимия от производителя подход към сигурността.

През април производителят интегрира нов автоматизиран карантинен механизъм (Automated Quarantine Engine, AQE) в системата за управление Omnivista. Според системния инженер на Alcatel Крауш, AQE позволява централизирано засичане на нападението на базата на стандартизирани IDS и защитни стени, което помага на комутаторите да вземат мерки по отблъскването им. Включване на външни устройства

Аналогична е и идеята на Enterasys. Дори предлаганото в момента оборудване на компанията може да обработва всякакви събития в системите на трети производители, да ги нормализира с помощта на IDS Dragon и да ги преобразува в други събития, включвайки промяна на статуса на порта или порт на виртуалната локална мрежа на комутатора. Скоро трябва да се появят и решения за интеграция на чужди крайни системи в процеса на автентификация (виж Фиг. 4). Освен това тази година непосредствено в комутаторите за достъп ще бъдат прехвърлени още повече функции на IPS.

Благодарение на инструментариума на Sygate компанията Extreme Networks може да провежда и автоматична проверка на целостта за хостовете и потребителите. Опорният комутатор маршрутизатор Black Diamond 10000 на Extreme е снабден с програмируеми специализирани интегрални схеми (Applications Specific Integrated Circuit, ASIC), както и с инструменти за анализ на трафика на данни в реално време под името “технология ClearFlow”.

Многостепенните механизми за филтриране отчитат не само пакетите, но и потоците. Чрез интерфейса в операционната система Extremeware XOS комутаторът изпраща копие от нехарактерна последователност в пакетите в IDS. Extreme обещава да реализира двупосочната комуникация скоро и тогава IDS ще може да заключва портовете на комутатора (ремедиация). Очаква се този подход да функционира с устройства на различни производители.

Foundry също работи в тази посока, като на преден план се поставя оперативният мониторинг на собствените комутатори чрез Sflow. “Планираме да разширим своите инфраструктурни предложения през тази година за сметка на средствата за засичане на опасности и работим, за да могат различни доставчици да използват нашия мониторинг Sflow за откриване на пробиви и своевременно информиране за заплахи по отношение на ИТ инфраструктурата”, заяви маркетинговият директор Хемингър. “Така можем да поддържаме системи както на базата на образци, така и на основата на разпознаването на анормално поведение”, допълва той.

В момента Foundry се занимава с прехвърлянето на функциите за разделяне към комутаторите за приложения от фамилията ServerIron. Подобни комутатори от седмо ниво, първоначално замислени за разпределяне на натоварването в сървърни ферми, поемат все повече задачи за гарантиране на сигурността, включително отблъскване на DoS атаки, ограничаване на скоростта или ускоряване на SSL. Също като управлението на L2/3 комутатори на Foundry, управлението на приложните комутатори става чрез IronView Network Manager (INM).

От края на 2005 г. INM ще има и функция за ремедиация. В рамките на многостепенната архитектура за гарантиране на сигурност Nortel предлага взаимодействие между IDS (която в случая се нарича система за защита от заплахи — Thread Protection System, TPS) и firewall. TPS предава подозрителните сигнатури на защитната стена, която блокира съответния поток.

Скоро Nortel ще реализира изключване на портовете на комутаторите на база разпознати TPS образци, но преди това маршрутизиращият комутатор Ethernet 8600 получи нов интегриран firewall. 3Com заедно с китайския производител Huawei също поглежда към корпоративния пазар. Досега компанията залагаше на специализираните комутатори с функции за гарантиране на сигурността и най-вече на представените в края на 2004 г. устройства 7245 и 7280.

Стратегията за всеобхватна сигурност на мрежата цели създаване на самозащитаваща се мрежа. Благодарение на придобиването на TippingPoint, производителят на IPS, 3Com вече говори за възможността за отразяване на атаки близо до реалното време. По думите на изпълнителния й директор Брус Клафлин, с разработката на инфраструктурни продукти и на опорния комутатор 8800 се занимава Huawei. За създаването на приложения, VoIP и услугите (гарантиране на сигурността и т.н.) се грижи 3Com. Но според Клафлин това не изключва появата на модули на TippingPoint за комутатори на Huawei.

Акцент върху периферията на мрежата

Подразделението на HP, което се занимава с комутатори (от групата ProCurve), е най-напреднало в работата си по интелигентни крайни комутатори. Концепцията Edge Fabric предполага “съсредоточаване на целия интелект” в периферията на мрежата. В ядрото трябва да остане само един високопроизводителен комутатор с висока пропускателна способност и голяма плътност на портовете, който ще пропуска вече проверен и класифициран трафик на данни.

Така HP прехвърля някои задачи към периферията на мрежата, като сред тях са дълбочинно проучване на пакетите, разпределяне на натоварването и изчистване на заразявания. Планира се през лятото към устройствата 5300 и 5400 да бъде добавена и възможност за блокиране на вируси, т.е. за анализ на потока от данни с ограничаване на пропускателната способност в случай на вирусна атака.

Тъй като много атаки днес са ориентирани към IPv4, браншът внимателно следи прехода от IPv4 на IPv6, включително от гледна точка на сигурността. Според специалистите механизмите за проверка и най-вече контролните суми могат значително да увеличат сигурността на трафика на данни. Някои дори твърдят, че само IPv6 може да реализира повечето концепции като тази за самозащитаващата се мрежа.

Безопасната мрежа

Подходите на производителите на комутатори и етапите на реализиране на решенията може да са различни, но всички се стремят към възможно най-тясна интеграция на функциите за гарантиране на сигурността в мрежата. При това мониторингът на сигурността задължително се свързва с управлението на мрежата и клиентите. Така администраторът ще може едновременно да следи за сигурността, производителността и статуса на крайните устройства.

Но производителността не бива да страда от анализа на сигурността, а мрежовите устройства трябва да взаимодействат с оборудването за гарантиране на сигурност чрез стандартизирани интерфейси. Само така ще имаме ефективна защита от атаки без да зависим от продуктите на конкретен производител. В тази връзка Михаел Зайп, продуктов мениджър в D-Link, с право отбелязва, че наред с удължаващите се списъци с функции за сигурност трябва да се оглежда и “общата сигурност на сградата”. По думите на Мартин Руоф, оглавяващ службата за поддръжка на Nortel, все по-важни стават ролите на “оператора и акселератора на сигурността”, т.е. на отговорния за мерките за сигурност и своевременното им прилагане.

Експертът от Enterasys Ниспел отбелязва, че днес локалните ускорители позволяват използването на интелект от седмо ниво при комутаторите на локалната мрежа. Механизмите за анализ за приложения с производителност 10 Gbps са на път да станат реалност и да се появят на пазара до 1 – 2 г. В следващото поколение тази функция ще се предлага на приемлива цена във всички комутатори за достъп от водещи производители.

Но не всяка задача, свързана със сигурността, може да се прехвърли на комутаторите. Проверката на потоците данни за вируси, червеи, троянци и т.н. ще си остане работа на специализираните устройства. Причината е в бързата обработка на съвременните ASIC, които в случая с комутаторите трябва да гарантират висока скорост на пренос на данни при комутация и маршрутизация, а в случая с IDS — да се специализират в ефективно филтриране на съдържанието в потоците от данни.

Въпросите за управляемостта пречат и на консолидирането на всички задачи в комутаторите, тъй като последните не получават обновление при появата на нов вирус. Комутаторите с възможност за обновление със сигурност биха увеличили административните разходи. За компаниите е далеч по-изгодно да прехвърлят тези задачи към специализираните устройства.

Фиг. 2. NAC се стреми към разпознаване на заслужаващите доверие потребители, независимо от производителя.

Фиг.3 Днешната нужда от сигурност изисква многостепенна концепция за сигурност, реализирана непосредствено в мрежата.

Фиг. 4. Вградената мрежова сигурност изисква съвместимост на различните компоненти. Основна пречка за това е нарастващата хетерогенност на клиентите в конвергентната мрежа.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!