bloki4 2 BRING YOUR
OWN DEVICE

Terminem BYOD określa się obecnie trend, charakteryzujący się umożliwianiem dostępu do zasobów sieci korporacyjnej za pomocą urządzeń, które nie są własnością organizacji...

czytaj więcej

bloki4 1 BRADFORD
NETWORKS

Platforma Network Sentry jest pierwszą ofertą w obszarze bezpieczeństwa sieci, które umożliwia realizację polityki BYOD przez automatyczną identyfikację i profilowanie urządzeń w sieci...

czytaj więcej

bloki4 25 XIRRUS
WiFi NETWORKS

Xirrus oferuje rozwiązania do budowy sieci WiFi nowej generacji o ultra wysokiej wydajności i skalowalności do 16 modułów radiowych w pojedynczej stacji bazowej...

czytaj więcej

(Artykuł opisuje najlepsze praktyki stosowane w ochronie punktów końcowych sieci informatycznych)

W arsenale środków ochronnych do dyspozycji mamy m.in.: antywirusy, listy dostępu, hostowe IPS-y, systemy NAC i wiele innych rozwiązań. Jak efektywnie z nich korzystać? O czym należy pamiętać, żeby komputery użytkowników w naszej sieci były bezpieczne lub same nie stanowiły zagrożenia?

Źródło: magazyn Networld

 Ochrona punktów końcowych sieci wymaga starannego podejścia i stosowania tzw. dobrych praktyk w zakresie: korzystania z narzędzi antywirusowych, kontroli urządzeń, hostowych IPS, rozwiązań ochrony behawioralnej, uwzględniania lokalizacji punktu końcowego, kontroli dostępu do sieci oraz aplikacji. Pierwsze zalecenie dotyczy wyboru rozwiązania do ochrony punktów końcowych sieci. Tutaj zasadą powinno być to, że niezależnie od tego, jakie narzędzia się wybiera, należy poszukiwać takich, które mają wbudowane wsparcie usług katalogowych Active Directory oraz możliwość obsługi własnych urządzeń końcowych. Takie podejście znacznie ułatwi sprawowanie kontroli nad całością - z jednego, dogodnego "punktu obserwacyjnego". Na początku wdrażania rozwiązań do ochrony punktów końcowych sieci należy zidentyfikować użytkowników i stacje robocze. Grupy bezpieczeństwa usług katalogowych Active Directory (AD) są zdecydowanie najbardziej wszechstronne, jeżeli chodzi o projektowanie własnej polityki bezpieczeństwa.

Podstawowe podejście to zdefiniowanie następujących grup w AD:

  • Stacje robocze: laptopy/desktopy
  • Grupy bezpieczeństwa: administratorzy/użytkownicy/goście

Można, oczywiście, według własnych potrzeb zdefiniować dodatkowe grupy, aby zapewnić większą szczegółowość polityki bezpieczeństwa.

Następnie należy udokumentować zasady polityki bezpieczeństwa w postaci tabeli:
tabela1

Aby skompletować dane do takiej tabeli, warto wzorować się na najlepszych praktykach (wymieniane w dalszej części artykułu) dla każdego elementu bezpieczeństwa punktów końcowych. Podchodzić należy do nich indywidualnie, ale mają one tworzyć jeden zbiór polityki, który powinien współgrać, żeby zapewnić optymalną ochronę.

Dobre praktyki stosowania antywirusów
Podstawowe zasady korzystania z narzędzi antywirusowych:

Wskazane jest wymuszenie pełnego skanowania antywirusowego na urządzeniach wymiennych, kiedy są podłączane.· Zaplanowanie pełnego skanowania, co najmniej raz w tygodniu (preferowane w czasie przerwy obiadowej lub innej przerwy w pracy). Dla laptopów - pełne skanowanie powinno być włączane za każdym razem, kiedy podłączają się do sieci korporacyjnej.

  • Wymuszenie skanowania pełnego na urządzeniach wymiennych zawsze, kiedy są podłączane.
  • Częste uaktualnianie sygnatur wirusów - powinno być wykonywane co 3 godziny.
  • Skonfigurowanie stacji roboczych do bezpośredniego sprowadzania uaktualnień sygnatur online z publicznych serwerów dostawców w przypadku, gdy własny, wewnętrzny serwer uaktualniający sygnatury antywirusowe znajduje się w trybie offline z powodu problemów programowych lub sprzętowych.

Dobre praktyki przy kontrolowaniu urządzeń
Właściwy nadzór nad urządzeniami podłączanymi do sieci ma istotne znaczenie dla bezpieczeństwa punktów końcowych. Tutaj powinno się przestrzegać następujących zasad:

  • Wewnątrz sieci korporacyjnej Wi-Fi musi być wyłączone. Tę zasadę powinno się także stosować wobec wszystkich stacji roboczych, laptopów i serwerów. Urządzenie USB Wi-Fi można kupić za niewielkie pieniądze i dlatego ich używanie musi być ściśle kontrolowane.
  • Aby wyeliminować jakąkolwiek komunikację, która nie jest kontrolowana przez polityki korporacyjne, należy bezwzględnie wyłączyć modemy, komunikację za pomocą Bluetooth i podczerwieni.

 Skuteczną metodą ochrony jest szyfrowanie wszystkich danych zapisywanych na wymiennych pamięciach masowych, takich jak: CD, DVD, dyski USB.· Mechanizmy U3 w pamięciach flash USB muszą być wyłączone, ponieważ pamięci te mogą być użyte jako fałszywie rozpoznane stacje CD-ROM, pozwalając malware na takie uszkodzenie tego komponentu, że mógłby być on uruchamiany automatycznie na stacji roboczej. Kiedy przegląda się wymienne urządzenia w punkcie końcowym, U3 CD-ROM może zostać błędnie uznany za prawdziwą stację CD-ROM.

  • Wykonanie audytu wszystkich podłączonych urządzeń i przechwycenie wszystkich działań prowadzących do zapisu pliku na urządzeniu wymiennym. Pozwoli to określić, skąd pochodzi informacja, dając obraz tego, jak wykorzystywane są urządzenia USB. Uzyskanie takiej informacji pozwala wykorzystać ją do uzupełnienia obowiązujących reguł polityki.
  • Blokowanie dostępu do plików wykonywalnych i skryptów zlokalizowanych na urządzeniach wymiennych oraz stacjach CD i DVD. Blokada zapobiega uruchamianiu malware w sytuacji, kiedy nieznana jeszcze luka może być wykorzystana przed jej załataniem.
  • Szyfrowanie wszystkich danych zapisywanych na wymiennych pamięciach masowych, takich jak: CD, DVD, dyski USB.

Musi istnieć możliwość tymczasowego wyłączenia wszystkich tych kontroli i ograniczeń. Powinna być dostępna poprzez wbudowany system "wezwanie-odpowiedź" lub Captcha. Taka forma dostępu zapewnia, że tego rodzaju tymczasowe wyjątki są w pełni kontrolowane przez zespół IT i mogą być wywoływane na określony, ograniczony czas.

 Dobre praktyki dla hostowych IPS i ochrony behawioralnej
Systemy wykrywania włamań i ochrona behawioralna to ostania linia obrony przed intruzami. Właściwe ustawienie tych narzędzi to m.in. przestrzeganie następujących zasad:

  • Ochrona przed keyloggerem: większość programów malware zawiera jakąś formę silnika keyloggera do przechwytywania wprowadzanych haseł, numerów kart kredytowych i innych danych osobowych. Ochronę przed keyloggerem należy więc włączać w ramach polityki host IPS.

 W aplikacjach wrażliwych, takich jak finansowe czy związane z danymi osobowymi, powinno się zablokować możliwości wykonywania „Print Screen” i „Kopiuj/Wklej”.· Monitorowanie sieci: ustawienie reguł polityki na monitorowanie każdej aplikacji próbującej wykonać połączenie sieciowe. Nieautoryzowane połączenia pomagają wykryć procesy malware, podejmujące próby nawiązania łączności z ich dysponentem.

  • Ochrona przed rootkitem: używając predefiniowanej białej listy sterowników ładowanych przez Windows, można wykryć malware wyglądające pozornie na niezbędny, uzasadniony sterownik, ale w rzeczywistości sygnowane skradzionym certyfikatem dostawcy sterowników.
  • Zapobieganie iniekcjom DLL: ulubioną techniką wykorzystywaną przez programy malware, mającą na celu uniknięcie usunięcia przez antywirusy, jest ich iniekcja w pracujące DLL. Program antywirusowy nie może usunąć lub poddać kwarantannie DLL, który już został wgrany. Zazwyczaj malware wgrywa się sam w procesy systemowe, takie jak winlogon.exe lub explorer.exe.
  • Obowiązkowe używanie trybu "learning" lub "testing" w ramach funkcji zapobiegania włamaniom i ochronie behawioralnej, w celu uzyskania możliwości przeprowadzenia testów ochrony uwzględniających występowanie wyjątków, które mogą być brane za fałszywe rozpoznania. Poprawia to również poziom zaufania do wdrażanego oprogramowania ochronnego, zwłaszcza gdy przychodzi czas uaktualniania lub instalowania nowych aplikacji, ponieważ działania takie w dużym stopniu odpowiadają za fałszywe rozpoznania. Ochrona przed przepełnieniem bufora jest również obowiązkowa. Dobrym przykładem są nie tak dawno wykryte luki Microsoft Windows i Adobe Acrobat. Ramy czasowe udostępniania łatek na nie mogą wydłużać się do miesiąca, a eksploit wykorzystujący lukę może pojawić się w internecie już po kilku godzinach.

 Dobre praktyki w kontroli aplikacji
Cyberzłodzieje będą wykorzystywać słabości w tych obszarach systemu operacyjnego, który często się zmienia, aby obsługiwać legalne aplikacje. Dlatego też należy zabezpieczyć rejestr Windows przed możliwością automatycznego wgrania malware:

  • klucze AutoRun,
  • moduły i ActiveX Internet Explorer,
  • iniekcja DLL w systemie (winlogin itp.),
  • usługi Windows,
  • sterowniki.

W przypadku laptopa należy zastosować trzy różne poziomy polityki, w zależności od jego lokalizacji: wewnątrz sieci korporacyjnej, poza nią lub połączony internetem przez VPN.Ponadto należy:

  • Zablokować - na poziomie aplikacji - możliwość kopiowania plików wykonywalnych lub skryptów ze współdzielonych pamięci sieciowych. Takie działania zapobiegają rozprzestrzenianiu się robaków wewnątrz sieci korporacyjnej.
  • Zablokować możliwości "Print Screen" i "Kopiuj/Wklej" w aplikacjach wrażliwych, takich jak finansowe czy związane z danymi osobowymi.
  • Wymuszać regułę, która dopuszcza jedynie specyficzne aplikacje do wykonywania operacji zachowywania plików na odległych serwerach.

 Dobre praktyki w zakresie określania lokalizacji
Poziom bezpieczeństwa musi opierać się nie tylko na użytkowniku, który jest aktualnie zalogowany, ale także na lokalizacji, z której się łączy i kontekstu takiego połączenia. Obejmuje to typ połączenia, jego poziom bezpieczeństwa itp. W przypadku laptopa, w stosunku do tego urządzenia należy zastosować trzy różne poziomy polityki, w zależności od jego lokalizacji: wewnątrz sieci korporacyjnej, poza nią lub połączony internetem przez VPN. Inne typy połączeń - takie jak próba łączenia się z internetem przez niezabezpieczone sieci Wi-Fi, które nie przechodzą przez korporacyjna VPN - mogą być blokowane. Do określania lokalizacji potrzebne jest rozwiązanie, które może wykrywać aktywowane interfejsy sieciowe (jest to konieczne dla VPN Control); może zbierać informacje o IP dla danej maszyny (adres IP, DNS itp.); może używać lokalnych i sieciowych informacji Active Directory do określenia typu maszyny, roli, grupy itp. Niebezpieczne jest używanie prostej obecności serwera do testowania lokalizacji maszyny, ponieważ w sytuacji, gdy serwer przejdzie w stan offline, lokalizacja przestanie być aktualna i wszystkie stacje robocze będą działać w ramach fałszywych reguł polityki, tak jakby nie były podłączone do sieci korporacyjnej.

W większości organizacji za przydatne można przyjąć następujące rodzaje lokalizacji:

  • Lokalizacja wewnętrzna: z aktywowanym jedynie interfejsem LAN - należy skontrolować, czy stacja robocza jest uwierzytelniana przez LDAP.
  • Lokalizacja VPN: z aktywowanym interfejsem VPN i właściwym adresem IP z podsieci VPN.
  • Lokalizacja zewnętrzna: inna niż wewnętrzna czy VPN.

 Jeżeli stacje robocze nie przejdą pozytywnie kontroli NAC, to powinny zostać poddane kwarantannie.Przy określaniu trzech ww. lokalizacji, mogą być zastosowane następujące rodzaje polityki:

  • Polityka wewnętrzna: jedyne dopuszczalne interfejsy LAN to te, które są na białej liście interfejsów sieciowych. Taka reguła uniemożliwia tworzenie nieoczekiwanych (potencjalnie złośliwych lub w inny sposób niebezpiecznych) mostów między innymi interfejsami sieciowymi.
  • Polityka VPN: ogranicza połączenia wchodzące/wychodzące do wymaganego minimum. Pomaga w zakresie bezpieczeństwa, jak również pozwala oszczędzać pasmo VPN.
  • Polityka zewnętrzna: zewnętrzne połączenia sieciowe powinny być dostępne przez ograniczony czas i tylko do ustanawiania połączeń VPN. Scenariusz użytkownika podłączonego przez hot spot musi być testowany w pierwszej kolejności. Następnie użytkownik powinien mieć otworzone okno dopuszczenia. Dobry przedział czasowy to 3 minuty, podczas którego może otworzyć połączenie webowe (http/https), w celu uwierzytelnienia na portalu hot spota (np. w hotelu). Po jego uwierzytelnieniu, może być ustanowione połączenie VPN.

 Dobre praktyki przy kontroli dostępu do sieci
Przy udostępnianiu podstawowych możliwości NAC (Network Access Control), istotną warstwą, która uniemożliwia nieautoryzowanym stacjom roboczym połączenie się z siecią korporacyjną, jest warstwa 802.1x. Najłatwiejszym sposobem spełnienia takich wymogów w środowisku opartym na Windows jest skorzystanie z usług katalogowych Microsoft Active Directory i ich wbudowanego w system operacyjny "petenta", który jest w pełni funkcjonalny, począwszy od Windows XP SP2. Mając do dyspozycji 802.1x, kolejnym krokiem jest wdrożenie którejś z odmian NAC, takiej jak: Cisco NAC, Microsoft NAP, Juniper UAC. To zapewni niezbędne mechanizmy do ustanawiania stacji roboczych we VLAN na podstawie ich statusu (sprawdzone pod względem bezpieczeństwa, poddane kwarantannie, gościnne itp.).

Na koniec, technologia ochrony punków końcowych, kompatybilna z wdrożonym rozwiązaniem NAC, powinna przenosić możliwości NAC do agenta punktu końcowego, który będzie zapewniał dodatkową pomoc w utrzymaniu odpowiedniej "kondycji zdrowotnej" stacji roboczej poprzez kwarantannę, czyszczenie i naprawienie oraz kontrolę stacji roboczej. Wybierając rozwiązanie do ochrony punktu końcowego, należy zwracać uwagę na to, aby sprawdzanie kondycji bezpieczeństwa punktu było szybkie. Zaleca się, żeby trwało mniej niż minutę. Aby zapewnić dobry poziom polityki bezpieczeństwa opartej na NAC, konieczne są następujące kontrole:

  • Czy stacje robocze mają zainstalowane wszystkie dostępne łatki systemu operacyjnego i aplikacji, których brak powoduje powstawanie luk w środowisku sieciowym.
  • Stanu antywirusa i jego sygnatur: czy jest aktualny i czy wykonywane są rutynowe skanowania systemu z najnowszymi sygnaturami.
  • Wdrożenia/zarządzania (jej brak lub złe skonfigurowanie) oprogramowania zainstalowanego i pracującego (Microsoft SMS, Landesk, Altiris itp.).

Jeżeli stacje robocze nie przejdą pozytywnie jednej z ww. kontroli, to powinny zostać poddane kwarantannie. Podczas jej trwania, ich działania powinno się ograniczyć do odbierania powiadomień wyjaśniających status stacji roboczej użytkownikowi; administrator o stanie stacji powinien być powiadamiany pocztą elektroniczną.

Ponadto:

  • Jeżeli zapewnione jest wsparcie 802.1x, to stacja robocza powinna być umieszczona we VLAN pełniącej rolę kwarantanny.
  • Używanie USB i urządzeń wymiennych na stacji roboczej należy ograniczyć tylko do operacji odczytu (mogą być użyte np. do uzyskiwania dostępu przez sieci bezprzewodowe).
  • Połączenia sieciowe muszą być ograniczone wyłącznie do działań naprawczych, uaktualnień (łatki, sygnatury) i powiadamiania.
  • Poczta elektroniczna i aplikacje przeglądarkowe powinny mieć zablokowany dostęp do plików sprowadzanych, otwieranych lub dostarczanych, w celu zapobiegania rozprzestrzeniania się robaków, zapewniając jednocześnie użytkownikom możliwość pracy z pocztą.
  • Rozwiązanie do ochrony punktu końcowego powinno zapewniać automatyczne funkcje naprawcze (czyszczenie i naprawa stacji roboczej bez udziału administratora), umożliwiające automatyczne przenoszenie stacji roboczej z VLAN kwarantanny do VLAN produkcyjnej po wykonaniu akcji naprawczej.
  • Wybierając rozwiązanie do ochrony punktu końcowego, należy zwracać uwagę na to, aby sprawdzanie kondycji bezpieczeństwa punktu końcowego było szybkie. Zaleca się, żeby trwało mniej niż minutę. Ponadto, funkcjonalność ochrony NAC w punkcie końcowym powinna być uruchamiana bezpośrednio po załadowaniu systemu operacyjnego. I na koniec: ochrona punktów końcowych powinna zapewnić ten sam poziom ochrony NAC dla punktu końcowego nawet wtedy, gdy punkt ten nie jest podłączony do sieci korporacyjnej czy VLAN.

(Artykuł pochodzi z numeru 04/2011 magazynu Networld)

Netaxcom

FDS PLAZA

ul. Puławska 469/3p

02-844 Warszawa

email: kontakt(at)netaxcom.pl
tel:  +48 22 378 2356
fax: +48 22 252 0712