Ταυτότητα Παρουσίασης Τίτλος: Αυτοπροστασία και Διασφάλιση Ακεραιότητας Δικτύων και Τερματικών Εισηγητής: Σταύρος Καραγκιούλογλου, Διπλ. Ηλεκτρολόγος Μηχανικός, Δ/νων Σύμβουλος SmartAxis AE Αρ.Μητρ. ΤΕΕ 39411 Επικοινωνία: s. kara@smartaxis. gr, Τηλ. 210.9210828, Fax: 210.9210827 Τεχνολογία Κατασκευής: FUNK Software Inc, ΗΠΑ www. funk. com www. smartaxis. gr/ sec- remote. html Παρουσίαση στην Ημερίδα ΤΕΕ, 10-Ιαν-2006 ΠΕΡΙΕΧΟΜΕΝΑ Α. Εταιρικά Ιδιωτικά Δίκτυα Β. Ποιο είναι το πρόβλημα Γ. Περιγραφή Λύσης και Λειτουργίας ENDPOINT INTEGRITY Δ. Λύσεις Επόμενης Γενιάς (Next.Gen) Ε. Λύση Endpoint Integrity με βάση την Ανοικτή Προδιαγραφή TNC Ζ. Παράδειγμα υλοποίησης προδιαγραφής: Endpoint Integrity System της FUNK Software Inc Η. Μελλοντικές κατευθύνσεις προδιαγραφής TNC Σελίδα 1 από 9
Αυτοπροστασία και Διασφάλιση Ακεραιότητας Δικτύων και Τερματικών Εταιρικά Ιδιωτικά Δίκτυα Έως πρόσφατα, οι διαχειριστές δικτύων (network administrators) είχαν την δυνατότητα να ελέγχουν πλήρως ποιος, πότε, που, πως, για πόσο είχε πρόσβαση σε μέρος του δικτύου ή και σε όλο το δίκτυο χρησιμοποιώντας τερματικούς σταθμούς ή τερματικά (Endpoints), που ανήκαν στην εταιρία/οργανισμό ή επίσης που ήταν προσωπική ιδιοκτησία τους. Ο διαχειριστής του δικτύου και γενικά το προσωπικό πληροφορικής είχαν την δυνατότητα να ελέγχουν απολύτως τι επιτρέπεται και τι όχι. Τα τμήματα πληροφορικής όριζαν το hardware και το software που επιτρεπόταν να χρησιμοποιείται, αν θα είχαν πρόσβαση στο διαδίκτυο και πως, αν και τι προγράμματα θα μπορούσαν να «κατεβάσουν», και τι είδους πρόσβαση θα είχαν στους πόρους του δικτύου. Διασφαλίζοντας την «περίμετρο» του δικτύου μπορούσαν να προστατέψουν και να στεγανοποιήσουν γενικά το δίκτυο. Εάν τηλε-εργαζόμενοι χρειάζονταν πρόσβαση στο δίκτυο, αυτό ήταν εφικτό εφαρμόζοντας συγκεκριμένες και ασφαλείς διαδικασίες. Ποιο είναι το πρόβλημα Όμως σήμερα, ο τρόπος που εργάζεται το προσωπικό των οργανισμών και εταιριών έχει διαφοροποιηθεί πάρα πολύ και έχει γίνει πολύ πιο «κινητός». Παράλληλα έχει αυξηθεί η πίεση στους διαχειριστές των δικτύων και το προσωπικό πληροφορικής. Σήμερα οι υπάλληλοι, μπορούν να χρησιμοποιήσουν τις τερματικές συσκευές τους από οπουδήποτε και οποτεδήποτε για να έχουν πρόσβαση στις πληροφορίες του εταιρικού δικτύου με πολλούς τρόπους. Πρόσφατα οι πωλήσεις των φορητών υπολογιστών ξεπέρασαν τις πωλήσεις των σταθερών για πρώτη φορά. Παράλληλα οι υπολογιστές παλάμης (palmtops) γίνονται ολοένα και πιο ικανοί, διαθέτοντας όλες τις δυνατότητες και τρόπους σύνδεσης (Wifi, Bluetooth, Blackberry, IrDA, USB, κλπ) και διεισδύουν στο εταιρικό περιβάλλον σαν εργαλεία καθημερινής εργασίας. Επίσης επισκέπτες των εταιριών και οργανισμών προσέρχονται στους χώρους των εταιριών / οργανισμών και θέλουν να έχουν πρόσβαση στο διαδίκτυο ή/και μέσω αυτού προς το δικό τους εταιρικό δίκτυο. Η ευρεία χρήση τέτοιου είδους (φορητών, palmtops, digital assistants, υπολογιστών συνδυασμένων με κινητό τηλέφωνο, κλπ, κλπ) υπολογιστικών τερματικών σταθμών δίνει την δυνατότητα να γίνεται χρήση από οπουδήποτε, οποιαδήποτε χρονική στιγμή, ακόμη και για προσωπική χρήση κατά το ωράριο εργασίας αλλά και μετά το πέρας της εργασίας, από παντού, όντας σε ταξίδι αλλά και από το σπίτι. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 2
Πάρα πολύ συχνό φαινόμενο είναι να γίνεται κατά την χρήση εκτός του γραφείου διαφοροποίηση των ρυθμίσεων, ακόμη και απενεργοποιήσεις ορισμένων προγραμμάτων (πχ antivirus, firewall, patch management, spyware, κλπ, κλπ). Συνέπεια αυτού είναι να εκτίθεται ο τερματικός σταθμός αλλά κυρίως όλο το εταιρικό δίκτυο σε ανυπολόγιστους και μη προβλέψιμους κινδύνους αν επανασυνδεθεί ο χρήστης αυτός δίχως να επαναφέρει τις απαιτούμενες ρυθμίσεις ασφάλειας. Περιγραφή Λύσης και Λειτουργίας ENDPOINT INTEGRITY Έχουν επεξεργαστεί και τυποποιηθεί ανοικτές προδιαγραφές για την ακεραιότητα του δικτύου και των τερματικών (ΕNDPOINT INTEGRITY) που δίνουν λύση στο πρόβλημα αυτό. Βάσει αυτών των προδιαγραφών, κάθε τερματικός σταθμός που θέλει να συνδεθεί στο δίκτυο, καταθέτει όχι μόνο την ταυτότητα την δική του ή και του χρήστη αλλά καταθέτει επίσης τεχνικές πληροφορίες που υποδηλώνουν τα χαρακτηριστικά ασφάλειας που διαθέτει. Βάσει αυτών, ο «εξυπηρετητής πολιτικής ασφάλειας (policy server)» του εταιρικού δικτύου κρίνει αν και τι είδους πρόσβαση μπορεί να παραχωρηθεί. Διαφορετικά τον οδηγεί σε περιβάλλον καραντίνας, όπου γίνεται προσπάθεια επιδιόρθωσης και συμπλήρωσης των χαρακτηριστικών ασφάλειας, πριν του επιτρέψει να συνδεθεί με ασφάλεια στο δίκτυο (εικόνα 1). Στο παρακάτω παράδειγμα (εικόνα 2) ο τερματικός σταθμός που θέλει να συνδεθεί στο δίκτυο, έχει καταθέσει τα απαιτούμενα στοιχεία τα οποία έγιναν αποδεκτά. Έτσι, ο «εξυπηρετητής πολιτικής ασφάλειας (policy server)» του εταιρικού δικτύου τον εγκρίνει προς σύνδεση και δίδει ανάλογη εντολή σε συνδυασμό και με τον Radius server που έχει αναλάβει το AAA (Authentication, Authorization Accounting). Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 3
Τα πράγματα είναι τελείως αντίθετα στο παρακάτω παράδειγμα (εικόνα 3), όπου τα στοιχεία του τερματικού σταθμού που θέλει να συνδεθεί στο δίκτυο έχουν κριθεί ανεπαρκή και έτσι ο «εξυπηρετητής πολιτικής ασφάλειας (policy server)» του εταιρικού δικτύου τον αποστέλλει σε περιβάλλον καραντίνας, ανεξάρτητα από το θετικό αποτέλεσμα του Radius server. Έχοντας τοποθετηθεί στην καραντίνα, ο χρήστης πληροφορείται τα αίτια που οδήγησαν στην κατάσταση αυτή και τι πρέπει να γίνει προκειμένου να ανακτήσει τα αναγκαία χαρακτηριστικά ασφαλείας ώστε να γίνει αποδεκτός από το δίκτυο (remediation). Ανάλογα με τις ρυθμίσεις που έχει κάνει ο διαχειριστής του εταιρικού δικτύου, μπορούν να γίνουν α) άμεσες Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 4
επιδιορθώσεις/ενημερώσεις, β) μικρές επιδιορθώσεις και γ) μεγάλες επιδιορθώσεις. Υπάρχει βέβαια περίπτωση, κάποιες επιδιορθώσεις να μη μπορούν να γίνουν αυτόματα αλλά να χρίζουν επέμβασης από ειδικούς, ενδεχομένως και χειροκίνητα. Αφού γίνουν τα απαραίτητα, το σύστημα επανελέγχει το επίπεδο ασφάλειας του τερματικού και αφού βεβαιωθεί ότι όλα έχουν καλώς, το εγκρίνει για σύνδεση. Η λειτουργία της καραντίνας είναι προαιρετική. Μερικοί διαχειριστές δικτύου προτιμούν να χρησιμοποιούν το όλο σύστημα σαν μία ευγενική προειδοποίηση προς τους χρήστες, προσπερνώντας τα μέτρα υποχρεωτικής καραντίνας και επιδιορθώσεων. Κάθε φορά που ένα τερματικό θα προσπαθεί να συνδεθεί στο δίκτυο, πάντα θα διενεργούνται οι προκαθορισμένοι έλεγχοι βάσει της ισχύουσας εκείνη τη στιγμή πολιτικής ασφάλειας που έχει καθορίσει ο αρμόδιος ασφάλειας σε συνεργασία με τον διαχειριστή του δικτύου. Λύσεις Επόμενης Γενιάς (Next. Gen) Υπάρχουν σήμερα οι κάτωθι κατευθύνσεις για την συγκρότηση λύσεων για Endpoint Integrity: 1- Trusted Computing Group: Trusted Network Connect (TNC) 2- Cisco: Network Admission Control (NAC) 3- Microsoft: Network Access Protection (NAP) 4- Άλλες λύσεις: ZoneLabs, Sygate, InfoΕxpress, κλπ Στη συνέχεια επικεντρωνόμαστε στη λύση της Trusted Computing Group Trusted Network Connect (TNC), γιατί στηρίζεται σε ανοικτή και δημοσιοποιημένη τεχνική προδιαγραφή, εξασφαλίζοντας στους χρήστες επιλογή προϊόντων, ποικιλία δυνατοτήτων για ενσωμάτωση υπομονάδων και προσαρμογέων (interfaces), απεξάρτηση από δεσμευτικά τεχνικά χαρακτηριστικά και βέβαια δυνατότητα συνδυασμού για τη συγκρότηση μίας ολοκληρωμένης και σχετικά οικονομικής λύσης. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 5
Λύση Endpoint Integrity με βάση την Ανοικτή Προδιαγραφή TNC Στo TCG συμμετέχουν: Στο TCG, που είναι μη-κερδοσκοπικός οργανισμός, συμμετέχουν οι μεγαλύτερες εταιρίες λογισμικού και τηλεπικοινωνιακού εξοπλισμού που προωθούν ανοικτά standards. Η ομάδα TNC (Trusted Network Connect) του ΤCG (Trusted Computing Group, www. trustedcomputinggroup. org) επεξεργάστηκε και προωθεί την ανοικτή προδιαγραφή ENDPOINT INTEGRITY που περιγράψαμε λειτουργικά παραπάνω. Η δομή της προδιαγραφής αυτής απαιτεί τέσσερα (4) συστατικά: 1. Σύστημα RADIUS με Policy Server για Endpoint Integrity. Περιλαμβάνει τις λειτουργίες ΑΑΑ, TNC Server, IMV Module (Integrity Measurement Verifier) 2. Software τερματικού για Endpoint Integrity Περιλαμβάνει τις λειτουργίες 802.1x client, TNC Client, IMC Module (Integrity Measurement Collector) 3. Software για καραντίνα Ειδικό software από κατασκευαστές όπως McAfee, Symantec, Checkpoint, κλπ 4. Εξοπλισμό δικτύου με λειτουργικότητα IEEE 802.1x Τα προϊόντα δικτύων παραγωγής των τελευταίων ετών ήδη το περιλαμβάνουν. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 6
Η προδιαγραφή αυτή λειτουργεί ως εξής ( 5): Όταν ένα τερματικό (ενσύρματο, ασύρματο ή και κινητό) ζητήσει να συνδεθεί με το δίκτυο, ο εξοπλισμός δικτύου ειδοποιεί τον Radius (AAA server), o οποίος ζητάει και παίρνει από τον «Access Software 802.1x client» την ταυτότητα του τερματικού. Εάν το τερματικό δεν έχει δικαίωμα πρόσβασης, τότε η επικοινωνία διακόπτεται. Εάν έχει δικαίωμα, το σύστημα προχωράει στην επόμενη φάση, δηλ. στην διαπίστωση του ελέγχου της ακεραιότητας του τερματικού. Στην Φάση αυτή, το TNC client συλλέγει πληροφορίες από τους IMC (Integrity Measurement Collectors) για τα εγκατεστημένα προϊόντα ασφαλείας στο τερματικό και τα αποστέλλει στον TNC server προς έλεγχο. Αυτός με τη σειρά του τα συγκρίνει με τους IMV (Integrity Measurement Verifiers) που διαθέτει και που υλοποιούν την πολιτική ασφάλειας του δικτύου και αποφαίνεται αν τα στοιχεία του τερματικού είναι αποδεκτά. Σε θετική περίπτωση, δίδεται στο τερματικό δικαίωμα πρόσβασης στο δίκτυο. Εάν όχι, το τερματικό οδηγείται σε μία ασφαλή περιοχή καραντίνας, όπου μπορούν να ενεργοποιηθούν διαδικασίες επιδιόρθωσης. Το περιβάλλον αυτό ονομάζεται επίσης δίκτυο καραντίνας» και είναι απομονωμένο από το κανονικό δίκτυο παραγωγής της εταιρείας. Είναι σημαντικό να αναφερθεί ότι το τερματικό δεν λαμβάνει σε καμία φάση διεύθυνση IP του δικτύου μέχρι να αποφασίσει ο TNC server (Policy Server) ότι πρόκειται για «έμπιστο (trusted) τερματικό». Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 7
Παράδειγμα υλοποίησης προδιαγραφής: Endpoint Integrity System της FUNK Software Inc Η εικόνα 6 παρακάτω δείχνει την υλοποίηση της εφαρμογής Endpoint Integrity της εταιρίας FUNK Software Inc με βάση την προδιαγραφή της TCG-TNC. Η λειτουργική αντιστοιχία με το μοντέλο της τεχνικής προδιαγραφής είναι: Α. Odyssey Client: Access software, IEEE 802.1x client B. Odyssey Client/Endpoint Assurance: TNC client C. Steel Belted Radius: AAA Radius server D. Steel Belted Radius / Endpoint Assurance: TNC server Η παρακάτω εικόνα 7 δείχνει μία υλοποίηση του Endpoint Integrity συστήματος της FUNK Software για Antivirus, Personal Firewall και Patch Management. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 8
Μελλοντικές κατευθύνσεις προδιαγραφής TNC H προδιαγραφή TNC της TCG εγκρίθηκε και δημοσιεύθηκε τον Μάιο 2005. Προβλέπεται να εμπλουτιστεί με πολλά υποσυστήματα κάνοντας χρήση ανοικτών και έτοιμων προδιαγραφών όπου αυτό είναι δυνατό. Μία πολλά υποσχόμενη εξέλιξη είναι η πρόβλεψη ελέγχου ειδικού hardware module για την διαπίστωση γνησιότητας και ακεραιότητας των τερματικών στα πλαίσια της προδιαγραφής Endpoint Integrity για την αυτοπροστασία των δικτύων και των τερματικών. Στην περίπτωση αυτή το σύστημα προβλέπει όχι μόνο την σχολαστική τήρηση των λειτουργιών σε επίπεδο software, αλλά επιπροσθέτως ελέγχει την ύπαρξη και την παραμετροποίηση ενός ειδικού hardware που ονομάζεται «TPM» (Trusted Platform Module) εντός του τερματικού που αιτείται να συνδεθεί. Το τερματικό για να περάσει τους ελέγχους, δεν φθάνει να έχει σωστά και ολοκληρωμένα όλα τα software με τις σωστές παραμέτρους, αλλά πρέπει να έχει και να είναι σωστά ενεργοποιημένο και το ειδικό hardware TPM. Το TPM είναι ειδικό ολοκληρωμένο κύκλωμα ασφαλείας, που έχει τυποποιηθεί από το TCG και που διατίθεται ήδη σε επαγγελματικούς φορητούς υπολογιστές. Σύγχρονες τάσεις στις τηλεπικοινωνίες και τεχνολογίες αιχμής, ΤΕΕ, Αθήνα, 10 Ιαν., 2006 9