Netværkssikkerhed - Definitioner og basics

Jeg deltager i øjeblikket i et kursus kaldet Operating Systems for Network Security. Jeg tænkte at jeg løbende ville dele en del af mine noter her på bloggen, det kunne jo være andre kunne finde noget inspiration i dem.

Definitioner

Først ligger vi ud med nogle definitioner. Der er her tale om de grundlæggende elementer vi har at arbejde med når et netværks skal beskyttes.

Border Routers

Formålet med en router er at fordele trafikken på et netværk, og sørge for at alle pakker kommer det rigtige sted hed. En border router er den sidste router der adskiller dit netværk, fra et netværk du ikke stoler på, f.eks. internettet.

Firewalls

Mens routeren sørger for at sende alt trafik i retning af rette modtager, sørger en firewall for at filtrere datapakkerne, så kun de ønskede data for lov at komme ind i, eller ud fra, et netværk.

Intrusion Detection systems (IDSs)

Et Intrusion Detection System (IDS) fungerer som en tyverialarm, der giver besked hvis der opdages forsøg på utilsigtet indtrængen. Der findes to slags IDS, Network-based (NIDS) der er tilknyttet en firewall og overvåger trafikken på netværket, samt Host-based (HIDS) der er tilknyttet den enkelte maskine, og overvåger trafikken til maskinen.

Intrusion Prevention systems (IPSs)

Mens et IDS vil forsøge at opdage forsøg på indtrængen og advare en administrator, vil et IPS selv forsøge at bremse forsøg på indtrængen.

Virtual Private Networks (VPNs)

Et VPN er en krypteret forbindelse over en usikker kanal såsom internettet. Dette kan f.eks. være nyttigt hvis man har brugere der skal have adgang til interne data såsom mailservere, fra eksterne placeringer, f.eks hjemmefra. Et VPN vil dog kun beskytte selve forbindelse, hvis en klient derfor er kompromiteret, kan det være muligt at trænge ind i et privat netværk via en VPN-forbindelse opsat af den kompromiterede klient.

Software Architecture

Softwaresikkerhed er også en vigtig ting at tage højde for. Hvis en webshop f.eks benytter sig af e-commerce software med sikkerhedshuller i, kan det være muligt for ondsindede folk at få adgang til interne data ved at udnytte disse huller, da der her ofte vil være tale om en forbindelse mellem intern software, og en database, vil det normalt kunne foregå uden hverken IDS eller IPS opdager det.

De-Militarized Zones (DMZs) and Screened Subnets

En De-Militarized Zone (DMZ) er et område på et netværk der ikke er beskyttet af en firewall. Det vil altså ofte være området fra en border router, til en firewall. Et Screened subnet er en del af netværket bag en firewall, som stadig kan tilgåes fra internettet. Screened subnets kan f.eks bruges til at adskille web- og mailservers, der skal kunne tilgås fra internettet via bestemte protokoller, fra brugernes arbejdsmaskiner der skal kunne tilgå internettet, men som ikke skal kunne tilgås udefra.

Defense in Depth

En god sikkerhedsmodel fungerer som et løg. Det består af flere uafhængige lag, der til sammen gerne skulle beskytte de systemer du prøver at beskytte. Det er vigtigt at have styr på alle sine beskyttelseslag, da ingenting, som bekendt, er perfekt. Skulle det lykkedes uvedkommende at slippe igennem det yderste lag vil det derfor være rart at næste lag kan tage sig af problemet. Vi arbejder her med 3 komponenter.
  • The Perimeter
  • The Network
  • The Human factor
Disse 3 vil blive gennemgået hver for sig.

The Perimeter

Når man snakker om netværkssikkerhed tænker folk oftest på perimeteren. Dette er det yderste lag af netværket der adskiller dit netværk fra det store stygge internet. Når vi snakker sikkerhed i dette lag snakker vi altså ting som:
  • Static Packet filters
  • Stateful firewalls
  • Proxy firewalls
  • IDS & IPS
  • VPN devices

The Network

Her tales der selvfølgelig om dit interne netværk. Det vil sige både servere, klienter, og netværkshardware. Netværkslaget kan altså med fordel deles op i to mindre dele, netværkshardwaren, og de systemer du prøver at beskytte.

Netværket

På selve netværket kan sikkerheden bestå af ting som:
  • Ingress & Egress filtre
  • Interne firewalls til at opdele netværket i mindre dele
  • IDS-systemer til at holde øje med om nogen skulle have held til at bryde igennem perimetren

Interne systemer

På de interne systemer kan sikkerheden bestå af ting som
  • Personlige (host-centric) firewalls
  • Antivirus software
  • Patching af sikkerhedshuller i OS og andet software
  • Forvaltning af opsætning - procedurer til at sørge for at både software og antivirus definitioner er opdateret
  • Revision
En stor del af denne sikkerhed kan altså delvist automatiseres, såsom udrulning af softwareopdateringer, andet kræver dog en del manuelt arbejde, såsom den løbende revision af sikkerhedsprocedurer.

The Human factor

En stor fejl der ofte begås når IT-sikkerhed planlægges er at man glemmer den menneskelige faktor, og kun tænker på hardware- og softwaresikkerhed. Det er dog vigtigt at alle brugere sættes ind i organisationens sikkerhedspolitik, og ved hvad der forventes af den enkelte, og ikke mindst hvorfor. Hvis en medarbejder f.eks har sin maskine med hjem, og ved et uheld får installeret en ord der spreder sig til hele organisationens interne netværk via en VPN-forbindelse, vil alverdens firewalls ikke kunne redde dig. Det er derfor vigtigt med en nogle klare sikkerhedsprocedurer, hvor der tages højde for ting som:
  • Authority - Hvem har adsvaret for hvad, mht. en given procedure
  • Scope - Hvem skal kende den enkelte procedure
  • Expiration - Hvornår vil en given procedure blive forældet?
  • Specificity - Hvad forventes der af en enkelte?
  • Clarity - Kan alle involverede parter rent faktisk forstå proceduren?

Opsummering

Der er altså rigtig mange ting man skal tage højde for når man arbejder med sikkerhedspolitiken i en organisation. Der er både tale om hardware-, software- samt menneskelige overvejelser man skal tage højde for på flere niveauer. Jeg vil forhåbentlig komme med flere indlæg løbende, som jeg kommer igennem bog og forelæsninger.