Informatika v organizaciji in managementu PRENOVA SISTEMA POŽARNIH PREGRAD V JAVNI UPRAVI Mentorica: doc.dr. Alenka Brezavšček Kandidat: Gregor Trampuš Kranj, maj 2016
ZAHVALA Zahvaljujem se mentorici doc.dr. Alenki Brezavšček za strokovno pomoč in vodenje pri izdelavi diplomske naloge. Hvala sodelavcem iz podjetja S&T Slovenija d.d., s katerimi smo skupaj izvedli zahtevni projekt prenove požarnih pregrad. Za vložen trud pri lektoriranju velja posebna zahvala lektorici Evi Menard Kuder. Hvala ženi in mojim otrokom, ki so me vzpodbujali in motivirali pri pisanju diplomskega dela.
POVZETEK Diplomsko delo opisuje nadgradnjo obstoječega varnostnega sistema omrežja, zamenjavo strojne in nadgradnjo programske opreme. Opisan je prehod iz strojno usmerjenega okolja v virtualizirano okolje. Prvi del diplomske naloge vsebuje teoretično podlago o računalniških komunikacijah, požarnih pregradah, varnostnih zahtevah in grožnjah, ter možnih zaščitah. V drugem, praktičnem delu, opisujemo, katere informacije je bilo potrebno pridobiti iz obstoječega okolja in zahtev naročnika, da smo lahko ponudili optimalno rešitev virtualizirano okolje požarnih pregrad Check Point 41000. Sledi del, ki je namenjen opisu postopkov menjave posameznih požarnih pregrad v novo virtualizirano okolje in testiranju. Končni rezultat diplomske naloge je celovit opis prehoda vseh požarnih pregrad v delujoče novo okolje. KLJUČNE BESEDE: informacijski sistem varnost prenova požarna pregrada virtualizacija ABSTRACT The thesis describes an upgrade of existing security system, replacement of hardware equipment and software upgrade. It also describes transition of the hardware oriented into virtualized environment. First part of the thesis includes theoretical fundamentals on network and security with rough description of firewalls, security demands, security threats and ways how to protect against them. In the second, practical part of the thesis, we describe which information had to be obtained from the existing enviroment, so we were able to offer an optimal solution virtualized Check Point 41000 enviroment. Followed by description of all the necesarry steps and procedures to migrate all individual firewalls to new virtual enviroment. The final result of this thesis is a complete description of a transition of all firewalls. KEYWORDS: information system security upgrade firewall virtualization
KAZALO 1 UVOD... 1 1.1 PREDSTAVITEV PROBLEMA... 1 1.2 PREDSTAVITEV OKOLJA... 1 1.3 PREDPOSTAVKE IN OMEJITVE... 2 1.4 METODE DELA... 3 2 TEORETIČNE OSNOVE S PODROČJA POŽARNIH PREGRAD... 4 2.1 ZGODOVINA... 4 2.2 POŽARNE PREGRADE... 5 2.2.1 POŽARNE PREGRADE S PAKETNIM PREGLEDOVANJEM... 6 2.2.2 APLIKACIJSKE POŽARNE PREGRADE... 7 2.2.3 POŽARNE NAPRAVE ZA PREVERJANJE PRISTNOSTI IN NAVIDEZNO ODDALJENO OMREŽJE... 8 2.2.4»SOHO«POŽARNE PREGRADE... 9 2.2.5 DEMILITARIZIRANA CONA DMZ... 9 2.2.6 SISTEM ZA ODKRIVANJE VDOROV IDS... 10 2.2.7 SISTEM ZA PREPREČEVANJE VDOROV IPS... 11 2.2.8 ANTIVIRUS, ANTIBOT IN FILTRIRANJE VSEBINE... 12 3 ANALIZA OBSTOJEČEGA STANJA... 14 4 POTEK PRENOVE OBSTOJEČEGA SISTEMA POŽARNIH PREGRAD... 16 4.1 IZBIRA USTREZNE REŠITVE... 17 4.2 PRIPRAVLJANE AKTIVNOSTI... 22 4.3 IZVEDBA TESTOV USTREZNOSTI... 22 4.4 DOBAVA IN NAMESTITEV OPREME... 25 4.5 MENJAVA MANAGEMENT SISTEMOV... 27 4.6 MENJAVA ROBNE POŽARNE PREGRADE FW-A... 28 4.6.1 POSTOPEK PREHODA... 30 4.6.2 TESTIRANJE NOVE POŽARNE PREGRADE VSFW-A... 31 4.7 MENJAVA ROBNE POŽARNE PREGRADE FW-B... 32 4.7.1 POSTOPEK PREHODA... 34 4.7.2 TESTIRANJE NOVE POŽARNE PREGRADE VSFW-B... 36 4.8 MENJAVA ROBNE POŽARNE PREGRADE FW-C... 38 4.8.1 POSTOPEK PREHODA... 41 4.8.2 TESTIRANJE NOVE POŽARNE PREGRADE VSFW-C... 43 4.9 MENJAVA ROBNE POŽARNE PREGRADE FW-D... 46
4.9.1 POSTOPEK PREHODA... 49 4.9.2 TESTIRANJE NOVE POŽARNE PREGRADE VSFW-D... 51 4.10 MENJAVA ROBNE POŽARNE PREGRADE FW-E... 53 4.10.1 POSTOPEK PREHODA... 55 4.10.2 TESTIRANJE NOVE POŽARNE PREGRADE VSFW-E... 57 4.11 ANALIZA USPEŠNOSTI PRVE FAZE PROJEKTA... 59 5 ZAKLJUČEK... 60 LITERATURA... 61 KAZALO SLIK... 62 KAZALO TABEL... 63 KRATICE... 64
1 UVOD 1.1 PREDSTAVITEV PROBLEMA Biti med prvimi, najboljšimi in/ali najhitrejšimi podjetji na trgu je želja večine. Zato je vpeljava novih informacijskih tehnologij, ki sledijo svetovnim trendom, v podjetja ključna in lahko pomeni ali propad ali preživetje samega podjetja. Kupiti nov že razvit informacijski sistem in ga postaviti v podjetje ni težko. Problem nastane, ko želimo posodobiti ali nadgraditi že obstoječe poslovne procese, povečati zmogljivosti komunikacijskih poti in povečati varnost našim podatkom. Še toliko večji izziv je lotiti se tega v živem okolju, v informacijskem sistemu, ki ne pričakuje večjih prekinitev, kjer prekinitev poslovnega procesa pomeni izpad storitev in posledično dohodka. V nalogi bomo opisali, kako smo se S&T Slovenija kot podjetje odzvali na naročilo stranke, kako smo pristopili k problemu, kakšno rešitev smo ponudili in kako smo rešitev tudi praktično izvedli v okolju stranke. Ministrstvo za obrambo je izdalo javno naročilo oziroma poizvedbo za celostno prenovo državnega informacijskega sistema. Namen naročila je bila prenova in konsolidacija obstoječega varnostnega sistema omrežja, ki se sestoji iz strojne in programske opreme robnih požarnih pregrad, strojne in programske opreme sistema za odkrivanje in preprečevanje vdorov ter sistema za odkrivanje neželene kode (IDS/IPS in Antibot) v omrežju. Taka prenova informacijskega sistema je kompleksen poseg, ki zahteva profesionalen pristop. Pričakuje se, da bo sistem po prenovi boljši, hitrejši, cenejši in enostavnejši za upravljanje. 1.2 PREDSTAVITEV OKOLJA Podjetje S&T Slovenija, Informacijske rešitve in storitve d.d., je že več kot 20 let eden vodilnih ponudnikov celovitih rešitev informacijskih tehnologij na slovenskem trgu. Podjetje ponuja celovite rešitve, ki jih deli na poslovne rešitve (iz področij bančništva, razvoja in strateškega upravljanja ljudi, logistike, proizvodnje in planiranja, financ in računovodstva ter poslovne analitike) in informacijske rešitve (informacijska varnost, omrežje, podatkovni centri, ITizobraževanja, sistemska programska oprema, nadzor in upravljanje IT-infrastrukture ter zunanje izvajanje storitev). Podjetje je v večinski lasti podjetja S&T AG, ki ima več kot 70 podružnic v 17 državah srednje in vzhodne Evrope z okoli 2000 zaposlenimi. V S&T Slovenija zaposlujemo 200 vrhunskih strokovnjakov s sedežem v Ljubljani, poslovalnico v Mariboru ter poslovno enoto v Celju in Kopru. Gre za strokovnjake, ki z inovativnimi, k stranki usmerjenimi rešitvami, omogočajo bodisi izboljševanje pri postavitvi podatkovnega centra, omrežne infrastrukture informacijske varnosti, bodisi svetovanje na področju finančnega in kadrovskega managementa. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 1
Projekt, ki je predmet pričujoče diplomske naloge, smo v podjetju S&T Slovenija izvajali na Ministrstvu za javno upravo Republike Slovenije (v nadaljevanju MJU), ki je priključeno na državno komunikacijsko omrežje (v nadaljevanju HKOM). HKOM je privatno omrežje zasnovano za prenos podatkov med posameznimi zaključenimi celotami (ministrstva, Carinska uprava Republike Slovenije, Davčni urad Republike Slovenije, itd.) in med posameznimi končnimi uporabniki ter centralnim sistemom aplikativnih in podatkovnih strežnikov in storitev (elektronska pošta, internet, klicni dostopi, itd.). Omrežje je povezano z internetom, zato mora biti in tudi je profesionalno varovano in grajeno ter vzdrževano po natančno določenih standardih in pravilih. HKOM upravlja MJU, ki med drugim opravlja naloge na področjih javne uprave, delovanja javnega sektorja in sistema javnih uslužbencev. MJU skrbi za javna naročila ter upravlja z informacijsko komunikacijskimi sistemi in zagotavljanje elektronskih storitev javne uprave. Na področju komunikacijske infrastrukture MJU skrbi za delovanje, razvoj, vzdrževanje in nadzor komunikacijskega omrežja državnih organov ter ostalih institucij javnega prava. MJU zagotavlja neprekinjeno podporo delovanju omrežja, razpoložljivost, celovitost in zaupnost podatkov. Izvajajo storitve oddaljenega dostopa do storitev državnih organov, upravljajo s sistemov za overjanje uporabnikov in zagotavljajo varen dostop do interneta. Delovno področje MJU za komunikacijsko infrastrukturo se deli na tri vsebinske sklope. Prvi sklop je osrednja in pristopna komunikacijska infrastruktura za nadzor, upravljanje in konfiguriranje komunikacije jedrnega sloja, glavnega in nadomestnega podatkovnega centra ter novih strežnikov, skrbništvo nad skupnim brezžičnim omrežjem»wifigov«, načrtovanje in najemanje povezav ter pasovnih širin. Drugi sklop so oddaljeni dostopi in horizontalne uporabniške storitve za skrbništvo nad sistemi oddaljenega dostopa, overjanja, centralnega upravljanja mobilnih naprav, programiranje spletnih aplikacij in storitev za potrebe prilagajanja vmesnikov in naprav ter nudenje tehnične pomoči uporabnikom. Tretji sklop je tema naše diplomske naloge, in sicer so to varnostni sistemi za skrbništvo in izvajanje varnostne politike na robnih požarnih pregradah, nadzor, upravljanje, konfiguriranje in diagnostiko spreminjanja varnostnih pravil, skrbništvo sistemov za odkrivanje in preprečevanje vdorov ter posredovalniških strežnikov»proxy«, dodajanje, brisanje, registracijo domen, skrbništvo baz in strežnikov. Celotna javna uprava zaposluje več kot 30.000 ljudi na celotnem področju Republike Slovenije (vir: http://www.mju.gov.si/). 1.3 PREDPOSTAVKE IN OMEJITVE Tehnične zahteve novega sistema so bile del dokumentacije s katero smo bili povabljeni k sodelovanju pri projektu, in so vsebovale podatke stopnje tajnosti ZAUPNO. V njej je bil podan podrobnejši opis obstoječega stanja in pričakovana končna topologija ter lastnosti varnostnega sistema omrežja. Podane so bile strojne, funkcionalne in minimalne prenosne zahteve sistema, ki jih morajo ponujene rešitve zagotoviti. Zaradi stopnje tajnosti so imena požarnih pregrad, stikal in drugih naprav, ki so vsebovane v nalogi, spremenjene. Ravno tako je spremenjeno IPnaslavljanje teh naprav. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 2
Celoten projekt prenove sistema požarnih pregrad je naredila ekipa strokovnjakov podjetja S&T Slovenija d.d., katere del je bil avtor te diplomske naloge. 1.4 METODE DELA V prvem delu naloge bomo predstavili teoretične osnove s področja interneta in njegove varnosti oziroma zaščite pred nevarnostmi, ki lahko doletijo omrežje. Predstavili bomo različne tipe požarnih pregrad in mehanizme za zaščito pred napadi in vdori. Uporabili bomo tujo in domačo literaturo kot tudi informacije z interneta. V osrednjem, praktičnem delu diplomskega dela bomo opisali celostno prenovo sistema požarnih pregrad v javni upravi z natančno analizo obstoječega stanja, ki je bil osnova za predlog prenove. Predstavili bomo, zakaj smo ponudili sistem požarnih pregrad podjetja CheckPoint in kako je potekal sam postopek prenove. V zaključnem delu naloge bomo podali končno analizo prenovljenega sistema, predstavili naše ugotovitve, pripombe in podali predloge, ki so nastali v času samega projekta. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 3
2 TEORETIČNE OSNOVE S PODROČJA POŽARNIH PREGRAD 2.1 ZGODOVINA ARPANET je kratica za Advanced Research Projects Agency Network, kar je bilo prvo delujoče omrežje na svetu in temelj nastanka interneta, kot ga poznamo danes. Primarno je šlo za vojaško komunikacijsko omrežje, čeprav je vodilni znanstvenik tega projekta Bob Tylor trdil, da je namen izključno znanstvene narave. Ideja je bila povezati računalniške terminale na računalnike za lažji prenos informacij. S to idejo se je odkrilo paketno preklapljanje. Oblikoval se je koncept usmerjevalnikov, ki ima na vsaki strani funkcijo preklapljanja modemov. Prvo uspešno sporočilo se je preko ARPANET-a poslalo leta 1969 iz univerze UCLA na raziskovalni inštitut v Stanford. Leta 1970 se je ARPANET razširil do vzhodne obale Združenih držav Amerike (Cambridge, Massachusetts), leta 1973 pa so v omrežje vključili tudi satelit NORSAR, s čimer se je v omrežje povezala tudi Norveška kot prva država izven ZDA. Do leta 1981 je bilo v omrežje povezani 213 računalnikov. Osnova za komunikacijo na ARPANET-u je bil protokol 1822, ki ga je leta 1983 zamenjal TCP/IP in je v uporabi še danes. Sredi osemdesetih let je prišlo do velikega preboja osebnih namiznih računalnikov, ki je tudi nakazal potrebo po prvih priklopih na internet. Leta 1995 so se ukinile omejitve glede komercialne uporabe interneta in s tem se je uporaba bliskovito razširila. Pojavil so se internet (angl. WWW world wide web) in prva internetna brskalnika podjetij Netscape in Microsoft. (vir: https://en.wikipedia.org/wiki/history_of_the_internet). Vzporedno s hitro rastjo interneta je raslo tudi število uporabnikov in njihovih aktivnosti v medmrežju. Vse te aktivnosti na žalost niso bile ugledne in del medmrežja se je spremenil v»slab internet«. Pojavili so se vdori v podjetja in posamezne sisteme z namenom pridobiti podatke podjetja ali pa informacije o posameznikih, ki bi se jih lahko izkoristilo. Tukaj se je pojavila potreba po zaščiti sistemov podjetja in posameznih naprav pred»slabimi uporabniki«na»slabem internetu«. Ko so se podjetja odločila, da zgradijo privatna omrežja in jih povežejo na internet, je mrežna varnost postala največja skrb vsakega skrbnika sistema. Mrežni administratorji so morali najti način, kako omejiti dostop do mreže ali dela nje pred zunanjim»slabim internetom«in pa tudi pred notranjimi brezobzirnimi uporabniki. Takšni varnostni mehanizmi temeljijo na požarnih pregradah. Požarna pregrada je strojna ali programska oprema ali pa kombinacija obeh, katere namen je nadzorovati in filtrirati pakete, ki ali prihajajo ali pa zapuščajo privatno mrežo. Požarna pregrada je orodje, ki ločuje zaščiteno mrežo ali del nje od nezaščitene»slabe mreže«, kot je recimo internet. Večina požarnih pregrad izvaja dve osnovni varnostni nalogi: filtriranje paketov, ki temelji na varnostni politiki dovoli ali blokiraj glede na sama varnostna pravila, in pa kot navidezni prehod, skozi katerega gredo vse internetne zahteve in nudi zaščito za vsakega posameznika. S tem ko požarna pregrada blokira paket, ga dejansko zavrže. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 4
Za večino podjetij je požarna pregrada prva linija obrambe, za katero se pričakuje, da nadzira pritok in odtok mrežnih informacij. Požarne pregrade temeljijo na dveh različnih tipih politik dovoli/blokiraj: blokiraj vse, kar ni izrecno dovoljeno v varnostni politiki, kar dovoli skozi samo promet in storitve, ki jih podjetje res rabi, dovoli vse, kar ni izrecno blokirano, kar spusti skozi ves promet in storitve razen tistih, ki so na seznamu prepovedanih. Glede na politiko požarne pregrade so pridobljeni naslednji cilji: ves promet v zaščiteno mrežo in iz nje mora teči čez požarno pregrado, samo pooblaščen promet, ki ga določi varnostna politika, bo dovoljen čez požarno pregrado, požarna pregrada mora biti odporna na vdore s tem, da se uporablja zaupanja vreden sistem z varnim operacijskim sistemom. Ko so te varnostne politike in cilji izvajajo na požarni pregradi lahko od požarne pregrade pričakujemo, da: prepreči vsiljivcem vdore v mrežo podjetja, prepreči vsiljivcem, da spremenijo ali zbrišejo katerokoli informacijo shranjeno v mreži podjetja, prepreči vsiljivcem, da si pridobijo informacije skrivne narave o podjetju, prepreči notranjim uporabnikom zlorabo sredstev podjetja z omejevanjem dostopa, nudi preverjanje pristnosti, nudi podporo za varen dostop oddaljenih lokacij, ki so del istega podjetja (VPN). 2.2 POŽARNE PREGRADE Namen in uporaba požarnih pregrad sta zelo široka, kar vodi v zelo širok spekter različnih modelov. Da lažje razumemo različne tipe požarnih pregrad, je dovolj, da pogledamo varnostne storitve, ki nam jih požarna pregrada nudi na različnih nivojih TCP/IP. Požarne pregrade lahko nastavimo, da nam nudijo različne varnostne storitve na večih TCP/IP nivojih. Požarne pregrade lahko razdelimo glede na to, na katerem od nivojev nudi svoje storitve, in glede na tip teh storitev kot je prikazano v tabeli 1. Tabela 1: Različni TCP/IP nivoji Nivo aplikacijski nivo transportni nivo mrežni nivo podatkovni nivo fizični nivo Storitve požarne pregrade prehodi za aplikacije, enkripcija, SOCKS proxy strežnik) paketno filtriranje (TCP,UDP,ICMP) NAT, IP-filtriranje filtriranje na osnovi MAC zaenkrat ne obstaja Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 5
2.2.1 POŽARNE PREGRADE S PAKETNIM PREGLEDOVANJEM Prvi tip so paketni pregledovalniki (angl. packet inspection) ali usmerjevalniki, ki filtrirajo pakete. Takšen tip je lahko usmerjevalnik, ki ima več mrežnih kartic, ali pa dedicirana mašina z več funkcionalnostmi. Te požarne pregrade delujejo na principu pregledovanja izvira in destinacije paketa in njihove porte (TCP, UDP, ICMP). Na podlagi varnostne politike se določi, ali bo posamezni paket posredovan ali zavržen. Usmerjevalnik je naprava, ki posreduje pakete med dvema ali več mrežami. Usmerjevalnik s paketnim filtriranjem, ki deluje na mrežnem nivoju, primerja vsak posamezni paket s pravili iz varnostne politike in šele nato se odloči ali ga bo posredoval naprej ali ne. Podatki lahko zapustijo sistem samo, če to dovoljujejo pravila na požarni pregradi. Da pade ta odločitev, gre požarna pregrada skozi seznam pravil in jih primerja z vsebino glave paketa. Če se pravilo ujame, potem se paket ali posreduje ali zavrže. V nasprotnem primeru se vrne ICMP-paket nazaj na izvor. Obstajata dve vrsti paketnega filtriranja. Statično ali»brez vedenja o stanju«(angl.static or stateless filtering), kjer se vsak paket posebej primerja z varnostnimi pravili, ki veljajo samo za informacije v tem paketu. Ne preverja se stanje komunikacije med izvorom in destinacijo. Druga vrsta je»filtriranje na osnovi spremljanja stanja povezave«(angl. stateful filtering). V tem primeru požarna pregrada za vsak paket, ki vstopi, preveri datum in stanje povezave med izvorom in destinacijo. Ker ta tip filtriranja pazi tudi na podatke, ki jih vsak paket nosi, je ta način bolj uporaben in posledično tudi bolj zahteven. Pregled podatkovnega dela paketa nam nudi možnost zaznavanja vprašljive vsebine, kot so priloge in podatki od gostitelja, ki ni direktno povezan na strežnik. Ne glede na tip paketnega filtriranja strežnik za filtriranje sledi pravilom v varnostni politiki, ki temeljijo na naslednjih informacijah v paketu: izvorni naslov: vsi odhodni paketi imajo interni naslov izvora, noben prihodni paket ne sme imeti internega naslova, ciljni naslov: podobno kot pri izvornih naslovih ciljni naslov odhodnega paketa ne sme biti enak izvornemu in pri prihodnih paketih mora biti cilj interni naslov. TPC ali UDP-številka porta izvora in destinacije, tip ICMP-paketa, tip podatkov v paketu, inicializacijo povezave in TCP-potrditveni bit (angl. ACK - acknowledge). Filtrirna pravila glede na IP-naslov (tabela 2) se uporabljajo za nadzor prometa noter in ven iz omrežja glede na izvorni in/ali ciljni naslov. Ker je to filtriranje»brez vedenja o stanju«(angl. stateles), se ne hrani nobena informacija in požarna pregrada se ne spomni nobenega paketa, ki je že šel čez njo. To je slabost, ki jo lahko izkoristijo napadalci s prevaro poneverbe IP-naslova (angl. IP-spoofing). Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 6
Tabela 2: Primer pravil filtriranja glede na IP Aplikacijski Izvorni IP Ciljni IP Ukrep protokol HTTP kdorkoli 194.124.1.0 Dovoli Telnet kdorkoli 198.213.1.1 Prepreči FTP kdorkoli 198.142.0.2 Dovoli IP-filtriranje sicer deluje v redu ampak ne daje administratorju sistema dovolj možnosti, da se dovoli uporabnikom iz zaupanja vrednega omrežja do določenih storitev v»slabi mreži«in obratno. Na primer uporabnikom iz»slabe mreže«verjetno ne bomo dovolili uporabe telneta do strežnikov v zaupni mreži, dovolimo pa jim dostop do spletnih strani na istih strežnikih. Takšna selektivna pravila lahko napišemo s pomočjo filtriranja TCP in UDP-številk portov na katerih tečejo posamezne storitve (tabela 3). Tabela 3: Primer pravil filtriranja glede na številko porta TCP ali UDP Aplikacijski Protokol Ciljna številka Ukrep protokol porta HTTP TCP 80 Dovoli SSL UDP 443 Prepreči Telnet TCP 23 Dovoli Filtriranje paketov v kombinaciji z ostalimi preferencami sicer deluje učinkovito, a obstaja kar nekaj težav: UDP-filtriranje: UDP je bil narejen kot nezanesljiv prenos, ki ne rabi potrditvenega bita, administrator ne more filtrirati na podlagi tega in ne more se kontrolirati izvora le-tega. Ena rešitev je blokiranje vseh prihodnih UDP-povezav in dovoljevanje vseh odhodnih. Skozi se spusti le znane povezave, kot so NTP (Network Time Protocol), NFS (Network File System), DSN (Domain Name System) usmerjevalniki, ki imajo omogočeno paketno filtriranje, ne omogočajo nadzora ostalih ranljivosti, kot so različne SYN poplave (angl. SYN flooding) paketno filtriranje ne omogoča nadzora nad navideznimi oddaljenimi omrežji (VPN), paketno filtriranje ne pregleduje legitimnosti protokolov znotraj samega paketa. 2.2.2 APLIKACIJSKE POŽARNE PREGRADE Namesto filtriranja na podlagi IP-naslovov, številke portov TCP in/ali UDP je možno filtriranje na podlagi vsem znanih (angl. well known) storitev, ki jih uporablja posamezna organizacija. Filtri se nastavijo tako, da so samo vsem znane storitve dovoljene v mreži in se zavržejo vsi paketi ostalih aplikacij. Te naprave delujejo na nivoju aplikacij (angl. application inspection). Takšne požarne pregrade so znane tudi kot proxy strežniki. Aplikacijske požarne pregrade so postavljene med aplikacijo pri uporabniku in strežnikom. Nudijo storitve, ki jih uporabniška aplikacija potrebuje. Deluje kot strežnik uporabniku in kot Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 7
uporabnik strežniku, kar omogoča visok nivo filtriranja s tem, da filtrira celoten tok podatkov in ne posameznih paketov. Proxy strežnik deluje tako, da prestreže zahtevo notranjega uporabnika in jo sam posreduje naprej do njegove destinacije, ki je navadno internet. Preden pa zadevo posreduje, zamenja izvorni IP s svojim lastnim. Pri odgovoru iz interneta proxy pregleda paket, zamenja ciljni IP v paketu s pravi internim in ga pošlje naprej. Interni uporabnik ne ve, da je paket prišel s strani proxy strežnika. Proxy strežniki izvajajo tri osnovne operacije: skrivanje IP-naslova: ko uporabnik pošlje zahtevo čez požarni zid in je ta dovoljena, lahko vohljač (angl. sniffer) na drugi strani ulovi paket in odkrije izvorni IP, ki lahko postane tarča napada. Proxy strežnik doda v glavo paketa lastne podatke in tako napadalec komunicira samo z njim; uničevanje glave paketa (angl. header destruction): zaščita, ko se glava paketa v celoti zamenja z glavo (angl. header) proxy strežnika. Vohljač na zunanji strani požarne pregrade vidi samo IP požarne pregrade. Ta operacija dejansko ustavi vse tipe TCP, UDP in IP napadov na glavo paketa; izvršitev protokola (angl. protocol enforcement): ker je normalno, da požarne pregrade spustijo dobro znane protokole glede na njihov port delovanja skozi. Napadalci to izkoriščajo tako, da svoje akcije oziroma vdore skrijejo za temi porti. Ker so proxy strežniki namenski glede na aplikacijo za njim, je to zelo težko. Primer proxy strežnika je požarna pregrada za aplikacijski spletni strežnik (angl. Web application firewall server). Bolj zanimive spletne aplikacije se ločujejo glede na številke portov, kot so: HTTP: port 80, FTP: port 20 in 21, SSL: port 443, Gopher: port 70, Telnet: port 23, Mail: port 25. 2.2.3 POŽARNE NAPRAVE ZA PREVERJANJE PRISTNOSTI IN NAVIDEZNO ODDALJENO OMREŽJE Tretji tip so požarne naprave za preverjanje pristnosti (angl. authentication) in navidezno oddaljeno omrežje (angl. virtual private network; v nadaljevanju angl. VPN). VPN je šifrirana povezava privatne mreže, ki teče na javni mreži. VPN se lahko vzpostavi med enim oddaljenim računalnikom, ki se povezuje v službeno mrežo, ali pa lahko povezuje več oddaljenih lokacij podjetja. V obeh primerih se zaključna točka lahko obnaša kot požarna pregrada. Večina takšnih požarnih pregrad ponuja VPN-zaščito vzporedno z avtentikacijo in avtorizacijo, ki teče na isti napravi. Prednosti VPN pred ne-vpn povezavami so: VPN-tehnologija kriptira povezavo, povezave lahko omejimo na naprave s točno določenim IP-naslovom. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 8
2.2.4»SOHO«POŽARNE PREGRADE Četrti tip so požarne naprave za manjša podjetja ali domačo uporabo t.i. SOHO (angl. Small Office Home Office). So manjšega tipa, ki navadno povezujejo nekaj osebnih računalnikov v mrežo na eni strani in povezavo na širokopasovni priključek na drugi strani. Te naprave se večinoma poslužujejo preslikavanja privatnih IP-naslovov v javni naslov, ki ga imenujemo NAT (angl. Network Address Translation). SOHO skrije vse TCP/IP informacije. Požarne pregrade tipa NAT dejansko delujejo kot proxy strežnik, s tem da skrivajo identiteto vseh notranjih naprav in v njihovem imenu posredujejo zahteve v internet. To pomeni, da se vse notranje naprave predstavijo z enim javnim IP-jem. Ko dobi NAT zahtevo notranjega uporabnika, zamenja njegov IP in ga nadomesti s svojim. 2.2.5 DEMILITARIZIRANA CONA DMZ Demilitarizirana cona (angl. demilitarized zone; v nadaljevanju DMZ) je del mreže ali mreža med zaščiteno privatno mrežo in»slabo zunanjo mrežo«(slika 1). Njen namen je izolacija določenih procesov podjetja, ki so javne narave kot na primer HTTP, FTP, DNS in SMPT. Do teh procesov je omogočen javni dostop, ki je sicer varnostno omejen, vendar ne tako, kot je iz privatne mreže. Vse naprave v DMZ so močno izpostavljene tako zunanjim kot notranjim uporabnikom in s tem so velik potencial za napad. Naprave v DMZ bi morale biti zaščitene s požarno pregrado iz obeh strani: pred zunanjimi in notranjimi uporabniki. Zunanja požarna pregrada naj bi blokirala samo določene protokole in spustila tiste, ki se jih rabi v DMZ, na primer FTP, HTTP/HTTPS, SMTP in DNS. Notranja požarna pregrada mora biti bolj omejevalna, da lahko ščiti notranjo mrežo. Notranja požarna pregrada mora blokirati tudi zgornje protokole, da nimajo dostopa v privatno mrežo. Prednosti DMZ-cone za podjetja so naslednje: tristopenjska varnost: da vsiljivec vdre v privatno mrežo, mora tako zlomiti najprej zunanji usmerjevalnik, DMZ-požarno pregrado in še notranjo požarno pregrado, usmerjanje: ker zunanji usmerjevalnik oglašuje DMZ-mrežo samo proti internetu, sistemi na internetu ne vedo za privatno mrežo. To dovoljuje administratorjem, da so privatne mreže nevidne in da so samo določeni sistemi v DMZ znani internetu preko usmerjevalnih tabel in DNS-oglaševanj. Slabosti DMZ-con pa so sledeče: kompleksnost DMZ-cone je lahko velika glede na to, kako želimo razčleniti storitve, strošek vzdrževanja popolnoma funkcionalnega DMZ je lahko visok glede na število storitev, ki jih ponujamo v DMZ. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 9
DMZ WAN LAN Požarna pregrada Slika 1: Tipična postavitev DMZ z eno požarno pregrado 2.2.6 SISTEM ZA ODKRIVANJE VDOROV IDS Sistem za odkrivanje vdorov (angl. Intrusion Detection System, v nadaljevanju IDS) je tehnologija za odkrivanje nepooblaščenih vdorov v računalniški sistem in mrežo. Vdor je namenski nepooblaščeni uspešen ali neuspešen poskus dostopa, spreminjanja podatkov, zlonamerne uporabe ali spreminjanja sistema, ki postane nezanesljiv ali neuporaben. Delimo jih lahko v šest različnih tipov: poskus vdora; zaznan je kot netipično obnašanje ali kot kršitev varnostnih zahtev, zamaskirani vdor; zaznan je kot netipično obnašanje ali kot kršitev varnostnih zahtev, preboj varnostnega kontrolnega sistema; zazna ga sistem za zaznavanje specifičnih načinov obnašanja aktivnosti, uhajanje; zazna se ga kot netipična uporaba sistemskih sredstev, zavrnitev storitev (angl. denial of service ali DOS); zazna se ga kot netipična uporaba sistemskih sredstev, zlonamerna uporaba; zaznan je kot netipično obnašanje ali kot kršitev varnostnih zahtev in uporaba posebnih privilegiranih dostopov. Vseh šest lahko razdelimo v tri modele IDS: mehanizem, ki temelji na zaznavanju nepravilnosti (angl. anomaly-based), mehanizem, ki temelji za zaznavanju s podpisi (angl. signature-based), hibridni mehanizem zaznavanja. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 10
Napadalec Pozor! Spletni strežniki IDS Manager Slika 2: Primer IDS postavitve 2.2.7 SISTEM ZA PREPREČEVANJE VDOROV IPS IDS je pasivni element v mreži in pokriva samo en del celotne varnostne slike. IDS samo odkrije in sporoča brez preprečevanja (slika 2), za kar pa se uporablja sistem za preprečevanje vdorov oz. IPS (angl. Intrusion Prevention System, v nadaljevanju IPS). IPS zazna in blokira napade (slika 3) glede na znane pomanjkljivosti (angl. voulnerabilites), ki obstajajo v sistemih in aplikacijah. Glavna zmogljivost IPS-a je zmožnost dekodirati protokol in uporabiti podpis. To omogočajo IPS-podpisi, ki se dodajo točno določenemu prometu in s tem zmanjšajo odstotek verjetnosti lažno pozitivnih. IPS je narejen po sistemu najdi in uniči in ne za nadzor aplikacij. X IPS Pozor! Napadalec Spletni strežniki Manager Slika 3: Primer IPS postavitve Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 11
2.2.8 ANTIVIRUS, ANTIBOT IN FILTRIRANJE VSEBINE Računalniški virusi so samo razmnoževalni programi narejeni, da spreminjajo ali uničujejo računalniška sredstva. Lahko jih primerjamo s človeškimi virusi, saj delujejo na enak način, le da namesto človeškega telesa uporabljajo računalniško kodo. Se navežejo, rastejo, razmnožujejo in se širijo na nova okolja. Sprožijo se ob zagonu nadomestnega programa, napadejo sistemske vire (programsko kodo in/ali strojno opremo) in s tem zmanjšajo funkcionalnost. Virusi so najbolj priljubljena oblika napada, ker: so enostavni za izdelavo in uporabo: večina jih je napisanih iz računalniške kode, ki postaja bolj in bolj enostavna, saj se je tudi programskih jezikov enostavno naučiti in jih razvijati; so enostavno dosegljivi za uporabo že na internetu skupaj z možnostjo podpore iz zanj napisanih priročnikov; imajo velik doseg: globalna računalniška povezanost omogoča hitro širitev; je njihova narava, da se sami razmnožujejo; imajo možnost, da mutirajo: spreminjajo svojo obliko, kodo, namen in s tem otežujejo njihovo zaznavanje in preprečitev; je težko odkriti avtorja in ga tako kaznovati. Antivirusna programska oprema je bila prvotno napisana za odkrivanje in odstranjevanje virusov, od koder ji tudi ime. S širjenjem drugih oblik zlonamerne kode se je povečal tudi namen antivirusnih programov, da nam nudijo dodatno zaščito pred njimi, kot na primer: zlonamerna koda v internet brskalnikih, zapisovalnikih tipkanja (angl. keylogger), izsiljevalskimi programi (angl. ransomware: tip zlonamerne kode, ki preprečuje dostop do računalniškega sistema, dokler se ne plača denarna odškodnina), trojanskimi konji, črvi, reklamnimi kodami (angl. adware), vohunskimi programi (angl. spyware) Bot je program, ki omogoča napadalcem oddaljen dostop do računalnikov in s tem izvajanje nelegalnih aktivnosti, kraje podatkov, širitev nezaželene elektronske pošte in razdelitev zlonamerne programske kode. Antibot je programska oprema, ki računalnike, okužene s programi bot zazna, jih onemogoči in prepreči le komunikacijo med njim in napadalcem. Ostala komunikacija teče nemoteno. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 12
Slika 4: Primer poročila za Anti-virus in Anti-bot (vir: https://www.checkpoint.com/products/anti-bot-software-blade/) Razdelitev požarnih pregrad in opis njihovih funkcionalnosti je povzeto po Migga (2015), Frahim (2014), Rhodes-Ousley (2013), Miller (2011) in Stallings (2014). Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 13
3 ANALIZA OBSTOJEČEGA STANJA Za optimalno ponudbo in kasneje izvedbo migracije je bilo potrebno v preliminarni fazi izvesti podrobno analizo obstoječega stanja in pripraviti za stranko rešitev, ki zadostuje njenim pričakovanjem in zahtevam. Obstoječe stanje je sestavljal sistem petih požarnih pregrad. Požarne pregrade so bile ločene glede na namen in določeno funkcionalnost. Obstoječe požarne pregrade so bile nameščene na namenski strežniški infrastrukturi (»intel based«strežniki), in sicer tako, da je bila vsaka komponenta nameščena na svojem fizičnem strežniku. Upravljanje teh rešitev se je izvajalo preko dveh nadzornih strežnikov, postavljenih v načinu visoke razpoložljivosti, ki sta bila prav tako nameščena na ločeni strojni opremi. Za IPS so se uporabljale namenske naprave proizvajalca IBM. Upravljanje se izvajalo preko nadzornega sistema, nameščenega na ločeni strojni opremi (»intel based«). Problem prvotne rešitve sta bila močna razvejanost in zastarelost, zaradi veliko strojne opreme je bil tudi velik finančni zalogaj za vzdrževanje. Ločeno upravljanje posamezne požarne pregrade je bilo zamudno in težko obvladljivo. Stara strojna oprema ni več omogočala širitve, niti ni omogočala nadgradnje programske opreme zaradi premalo strojnih sredstev (delovni spomin, diskovno polje, ). Za posodobitev obstoječega sistema je stranka postavila naslednje zahteve: povečanje prepustnosti sistema, znižanje stroškov lastništva in upravljanja ob večji prepustnosti sistema, enostavnejše centralno urejeno upravljanje, enostavnejše nadgrajevanje, učinkovitejše poročanje, obveščanje in sledenje spremembam, vpeljevanje novih funkcionalnosti in tehnologij in povečanje vloge lastnih virov v procesu upravljanja. Vpogled v strankino okolje in obstoječo dokumentacijo nam je pomagal narediti celostno shemo obstoječega stanja, ki je prikazana v sliki 5. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 14
Proxy Web Web Web Web DMZ E CORE-E NET-X SW-COREX CORE-C VLAN250 DMZ C DMZ,WIFI DMZ CORE D FW-C VLAN250 IPS NET C Internet WAN SW-INTERNET IPS Zaključevanje tunelov NAT Zaključevanje tunelov DMZ WLC WiFi AP ACE FW-D FW-X Partnerji FW-A FW-B crypto (center) FW-C SW-CORE 1,2 FW-E Slika 5: HLD shema obstoječega stanja postavitve požarnih pregrad in povezav Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 15
4 POTEK PRENOVE OBSTOJEČEGA SISTEMA POŽARNIH PREGRAD Sam projekt je bil razdeljen v štiri faze (predstavljene v tabeli 5), ki so bile med seboj povezane in prepletene. V prvi fazi so potekale pripravljane aktivnosti pred samim pričetkom aktivnosti pri stranki, dobava in postavitev opreme, migracija nadzorno-upravljalnega sistema (management), migracija požarnih pregrad na novo okolje in optimizacija pravil. Po uspešni migraciji požarnih sistem je bila potrebna posodobitev dokumentacije z novimi shemami in konfiguracijami. Tretja faza je zavzemala uvajanja naročnika v nov sistem. Izvedene so bile delavnice, ki so zavzemale teoretični in praktični del na novem sistemu. Četrta faza je planirana po preteku vsaj enega leta dela na novem sistemu, ko se bodo selile še požarne pregrade oddaljenih lokacij na ta isti virtualni sistem. V diplomskem delu bomo podrobno opisali prvo fazo projekta. Tabela 4: Faze izvedbe projekta Faza Sklop Aktivnosti Opombe / Zaključki F1 1 Pripravljalne aktivnosti: Vsi potrebni dokumenti se analiza obstoječega sistema, izdelajo pred pričetkom del. priprava LLD in HLD, priprava potrditvenih testov. 2 Dobava opreme z namestitvijo, konfiguracijo ter zagonom: dobava varnostnega sistema, namestitev varnostnega sistema, konfiguracija varnostnega sistema. 3 Migracija varnostnih politik in nastavitev obstoječega sistema: Migracija politik in nastavitev na nov varnostni priprava, sistem z zaključenimi vsemi implementacija, potrditvenimi testi. optimizacija. 4 Prevzem v obratovanje in začetek garancijske dobe Prevzem sistema je s prevzemnim zapisnikom. F2 5 Dokumentiranje postavljenega sistema Sprotno izvajanje med posameznimi aktivnostmi. F3 6 Uvajanje naročnika v upravljanje F4 7 Migracija varnostnih politij in nastavitev iz oddaljenih lokacij: priprava, implementacija, optimizacija pravil, dokumentiranje postavljena sistema. Migracija na novo varnostno rešitev je potekala na živem okolju na produkciji. Zaradi prehoda na novo okolje je bil promet, ki prehaja čez seljeno požarno pregrado, v času preklopa moten Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 16
in v določenem trenutku popolnoma prekinjen. Pričakovali smo, da bo celoten promet prekinjen za čas do 15 minut, motnje same pa so se lahko pojavljaje v časovnem obdobju dveh ur. Selitev požarnih pregrad se je izvajala po vnaprej dogovorjenem urniku (v nočnih urah) in ob predhodnem obveščanju uporabnikov, za kar je poskrbel naročnik. Skupaj z naročnikom smo pred posameznim prehodom pripravili tudi testni načrt, s katerim smo verificirali delovanje preseljene požarne pregrade. Stare požarne pregrade so se izklopile iz omrežja, vendar ostale prižgane še dva tedna po selitvi za primer večjih težav. V tem primeru bi se naredil prehod nazaj na stare požarne pregrade (rezervni načrt za to ni potreben). 4.1 IZBIRA USTREZNE REŠITVE Na podlagi analize obstoječega stanja smo za prenovo in konsolidacijo obstoječega varnostnega sistema omrežja predlagali uporabo opreme vodilnega proizvajalca požarnih pregrad Check Point. Predlagana rešitev omogoča visoko razpoložljivost, visoko prepustnost in razširljivost ob doseganju najvišjih varnostnih standardov za ves promet, ki poteka preko požarne pregrade. Predlagana rešitev omogoča tudi konsolidacijo obstoječih varnostnih rešitev na enotno tehnologijo in tudi konsolidacijo obstoječe strojne opreme uporabljene za varnostne rešitve. Proizvajalec Check Point je svetovno vodilno podjetje specializirano v razvoj varnostnih rešitev v svetu informacijske tehnologije, dobitnik številnih priznanj na neodvisnih testiranjih varnostnih rešitev in inovator številnih varnostnih mehanizmov. Z izbiro rešitve Check Point dobi naročnik zagotovilo, da bo lahko skozi življenjsko obdobje rešitve sledil zadnjim varnostnim zahtevam informacijskega sveta in varoval svoje okolje pred zunanjimi in notranjimi napadi ali napačnimi uporabami virov informacijskega sistema. Za prenovo in konsolidacijo obstoječega varnostnega sistema smo predlagali dve požarni pregradi Check Point 41000 (slika 6), ki poskrbita za konsolidacijo in razširitev obstoječih varnostnih mehanizmov na dve strojni komponenti v sistemu visoke razpoložljivosti in omogočata uporabo več virtualnih požarnih pregrad. Za upravljanje s požarnima pregradama Check Point 4100 smo predlagali rešitev preko dveh nadzornih strežnikov, postavljenih v načinu visoke razpoložljivosti, ki se sta se namestila na ločeni strojni opremi. Strežnika sta fizično ločena od požarnih pregrad in skrbita za izvajanje varnostnega pregledovanja. Med drugim omogočata: nadzor nad stanjem požarnih pregrad, sprejem in hranjenje zapisov iz požarnih pregrad, pregled zapisov, spremembe politik požarnih pregrad, pregled statistike o zaznanih varnostnih dogodkih, pregled statistike o količini in tipu prometa ter poročila o obremenitvah sistema. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 17
Slika 6: Požarna pregrada Check Pont 41000 (vir: http://www.itworldcanada.com/article/check-point-rolls-out-improved-security-devicesfor-data-centres/91979) Vsaka naprava Check Point 41000 vsebuje naslednje strojne komponente: 1. Security Gateway Module (SGM), na keterem tečejo funkcionalnosti požarne pregrade. Dodajanje in odvzemanje SGM modula iz sistema ne povzroča izpada prometa preko sistema. V sistemu mora biti vsaj en SGM. 2. Console port za povezavo na posamezen SGM. 3. USB port za morebiten priklop zunanje naprave (npr. DVD). 4. Security Switch Module (SSM) skrbi za tok prometa od/do SGM modulov. 5. Chassis Management Module (CMM), ki skrbi za nadzor nad stanjem strojnih komponent sistema. 6. AC napajalni moduli. 7. Ventilatorji, eden na levi in drugi na desni strani naprave. Za hlajenje prednjega in zadnjega dela šasije. Zaporedne številke posameznih komponent naprave Check Point 41000 so ponazorjene na sliki 7. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 18
Slika 7: Shema strojnih komponent naprave Check Point 41000 (vir:https://sc1.checkpoint.com/documents/r76sp.10/cp_r76sp.10_for_41000_security_sy stem_getting_started_guide/72494.htm) Posamezna naprava Check Point 41000 ima še: 6x 10Gbps SX-MM porte 2x 1Gbps SX-MM port 10x 1Gbps RJ45 porte Na posamezni napravi se vzpostavi virtualno Check Point okolje (VSX), v katerem se postavijo virtualne požarne pregrade, na katere se prenese funkcionalnosti iz obstoječih varnostnih sistemov. Število virtualnih požarnih pregrad, ki jih sistem podpira, v celoti omogoča tako vzpostavitev ciljnega sistema zahtevanega v tehničnih specifikacijah kot tudi faze prehoda do novega sistema. Virtualne požarne pregrade na posamezni napravi se paroma postavijo v sistem visoke razpoložljivosti, kar omogoča neprekinjeno delovanje prometa v primeru»katastrofe«ene od naprav (npr. fizično uničenje, izklop iz napajanja vseh napajalnikov) ali prestavitve ene od naprav na drugo lokacijo. Na požarni pregradi Check Point se omogočijo naslednje funkcionalnosti: FW: Firewall požarna pregrada, ki omogoča»statefull«preverjanje prometa. ADNC: Advanced Networking and Clustering omogoča uporabo pospeševalnih mehanizmov ter uporabo dinamičnih usmerjevalnih protokolov. VPN: Virtual Private networking omogoča uporabo IPsec protokola za vzpostavitev šifriranih komunikacij med oddaljenimi lokacijami. Vključuje tudi RAS VPN. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 19
IPS: Intrusion Prevention System omogoča vključitev zaščite za odkrivanje in preprečevanje vdorov. APCL: Application Control omogoča kontrolo uporabe WEB storitev glede na kategorizirane aplikacije. AV: Antivirus and Antimalware omogoča zaščito uporabnikov pred virusi in zlonamerno kodo ob uporabi storitev interneta. AB: AntiBot zaščita omogoča detekcijo in blokiranje odhodnih sej generiranih s strani okuženih postaj, povezanih v zlonamerna C&C omrežja. Za požarne pregrade, kjer se že uporabljajo varnostne politike posameznih storitev, se le-te prenesejo in dodatno optimizirajo, za preostale sisteme pa se pripravijo nove politike. Za upravljanje požarnih pregrad se nadzor namesti na dva nova strežnika (primarni in sekundarni), in sicer na strojno opremo IBM x3650m4. Diskovne particije na sistemu so razdeljene po specifikacijah v tabeli 4. Tabela 5: Razdelitev diskovnega polja za management Particija Boot System Logs Backup Kapaciteta 18 GB 40 GB 1250 GB 87 GB Fizične povezave med požarnima pregradama, ki tvorita visoko razpoložljivost, ter med strežnikoma za nadzor in upravljanje so ločene od produkcijskega okolja (slika 8). VLAN: DATA 1,2,3,... FW-MGMT1 CHP-41000_1 SYNC CHP-41000_2 VLAN: FW-MGMT VLAN: DATA 1,2,3,... FW-MGMT2 Slika 8 : Shema prikazuje fizičen priklop Celotno prenovljeno omrežje smo predstavili na sliki 9, ki prikazuje virtualizirano novo okolje in načine kako je to vpeto v jedrno omrežje preko dveh začasnih stikal, ki združujeta vse povezave med njimi. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 20
VSFW-0 VSX-Master-1 N x VLAN interfaces VSFW-A VSFW-B VSFW-C VSFW-D VSFW-E VSFW-0 VSX-Master-2 VSFW-A VSFW-B VSFW-C VSFW-D VSFW-E CISCO NEXUS 9396TX 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 1-1 2-1 s1-1 s2-1 s1-1 s2-1 CISCO NEXUS 9396TX 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 1-1 2-1 Bond1 OUT 4x1GEth; Trunk 1st-Phase PoX:5xGEth (1 per SW); Trunk BCN STS ACT 1 2 Bond0 2x10GEth; Trunk SW-CORE1 sw-d sw-e sw-c SW-DMZ1 PoX:6xGEth; Trunk PoX:6xGEth; Trunk Bond2 2x1GEth; SW-CORE-X1 PoX:1xGEth;Trunk SW-INTERNET IN MG MT S ync S ync IN sw-b3 sw-b2 sw-b5 PoX:5xGEth (1 per SW); Trunk PoX PoX BCN STS ACT 1 2 Bond0 SW-CORE-X2 PoX:1xGEth;Trunk SW-CORE2 PoX:6xGEth; Trunk 2x10GEth; Trunk Bond2 MG MT 2x1GEth; SW-DMZ2 PoX:6xGEth; Trunk Bond1 OUT 4x1GEth; Trunk 1st-Phase Slika 9 : Shema HLD postavitve novega sistema Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 21
4.2 PRIPRAVLJANE AKTIVNOSTI V predpripravi sta se naredila dokumenta HLD (high level design) in LLD (low level design). HLD razloži splošno arhitekturo rešitve. Je vpogled v celoto in vodilo skozi celoten projekt. LLD vsebuje detajlne tehnične rešitve projekta in gre korak za korakom skozi celoten projekt. Določil se je vrstni red migracije posameznih požarnih pregrad na novi sistem. Pripravili sta se dve vmesni stikali Cisco Nexus 9300 (N9300-agr1 in N9300-agr2). Njun namen je združevanje (agregacija) povezav iz novega požarnega sistema do hrbteničnih stikal (core) omrežja za čas prenove jedrnega omrežja. Ta projekt je sledil projektu menjave požarnih pregrad. Po končani prenovi jedrnega omrežja se sistem požarnih pregrad prestavi na novo jedro in se začasni Cisco Nexus 9300 stikali umakneta. V pripravljalnem obdobju so se kreirale nove virtualne požarne pregrade, na katere se je kasneje migrirala politika iz starih požarnih pregrad:. dodal se je nov VSX objekt, dodali smo vse virtualne različice požarnih pregrad: VSFW-A, VSFW-B, VSFW-C, VSFW-D, VSFW-E, na vse nove virtualne različice smo dodali virtualne povezave, kopirali smo pripadajoče varnostne politike na nove požarne pregrade in popravili objekte, kjer je bilo potrebno, dodali smo manjkajoča varnostna preverjanja (npr: IPS), kjer je bilo to potrebno. 4.3 IZVEDBA TESTOV USTREZNOSTI Na osnovi tehničnega koncepta novega varnostnega sistema smo dokazali ustreznost ponujenega sistema s t.i.»proof of Concept«testi (v nadaljevanju»poc«). Uspešno opravljeni testi in skladno z zahtevanimi parametri uspešne meritve so bile nujen pogoj za sprejemljivost ponudbe. POC testiranje je bilo razdeljeno na tri dele: izkazovanje zahtevanih funkcionalnosti, izkazovanje zahtevanih zmogljivosti (t.i. stres testi) in izkazovanje delovanja redundantnih mehanizmov v zahtevanih parametrih. Funkcionalni testi so nedvoumno izkazovali izpolnjevanje zahtevanih funkcionalnosti ponujenega sistema, ki so bile: implementacija in delovanje varnostnih politik med segmenti, implementacija in delovanje varnostnih politik skupaj s prikazom delovanja mehanizmov odkrivanja in preprečevanja protokolnih anomalij, implementacija in delovanje varnostnih politik v kombinaciji z uporabo IDP-pravil, Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 22
implementacija in delovanje varnostnih politik v kombinaciji z uporabo mehanizmov nadzora delovanja aplikacij (angl.»application control«), implementacija in delovanje varnostnih politik v kombinaciji z uporabo mehanizmov preprečevanja škodljive zlonamerne programske kode (angl.»anti-bot«), vzpostavitev in delovanje IPsec VPN tunelov, implementacija in delovanje vseh varnostnih pravil na vhodu in izhodu IPsec VPN tunelov. Zmogljivostni testi so dokazali performančne lastnosti ponujene opreme skladno z zahtevami naročnika, in sicer: pri uporabi varnostnih pravil nad mešanim prometom»imix«v ponujeni konfiguraciji (angl.»firewall IMIX performance«): a) za različne varnostne politike z vključeno NAT-funkcionalnostjo in beleženjem, b) za različne varnostne politike z vključeno NAT-funkcionalnostjo in beleženjem z dodanimi IDP-pravili (ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov), c) za različne varnostne politike z vključeno NAT-funkcionalnostjo in beleženjem z dodanimi IDP-pravili in pravili za nadzor delovanja aplikacij (ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov); pri uporabi varnostnih pravil nad mešanim prometom»imix«v maksimalno nadgrajeni konfiguraciji (angl.»firewall IMIX performance: a) za različne varnostne politike z vključeno NAT-funkcionalnostjo, b) za različne varnostne politike z dodanimi IDP-pravili(ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov), c) za različne varnostne politike z dodanimi IDP-pravili, pravili za nadzor delovanja aplikacij ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov), d) za različne varnostne politike z dodanimi IDP-pravili, pravili za nadzor delovanja aplikacij, vklopljenimi funkcionalnostmi zaznavanja škodljive neželene zlonamerne kode»anti-bot«ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov), e) z vklopljenimi ostalimi možnimi varnostnimi mehanizmi (zaznavanje napadov z neznanim profilom (angl.» 0-day«ali»zero-day attack«), f) utilizacija povprečne uporabljene procesorske moči sistema na aktivni napravi ni presegla 81%; pri uporabi varnostnih pravil nad mešanim prometom»imix«v ponujeni konfiguraciji z vsemi možnimi vklopljenimi funkcionalnostmi: a) za različne varnostne politike z vključeno NAT-funkcionalnostjo, b) za različne varnostne politike z dodanimi IDP-pravili(ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov), Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 23
c) za različne varnostne politike z dodanimi IDP-pravili, pravili za nadzor delovanja aplikacij ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov), d) za različne varnostne politike z dodanimi IDP-pravili, pravili za nadzor delovanja aplikacij, vklopljenimi funkcionalnostmi zaznavanja škodljive neželene zlonamerne kode»anti-bot«ob nastavitvah nivoja IDP-zaščite na priporočljivo vrednost ter posodobljeno bazo podpisov), e) z vklopljenimi ostalimi možnimi varnostnimi mehanizmi (zaznavanje napadov z neznanim profilom (angl.» 0-day«ali»zero-day attack«); odzivnost uporabniškega vmesnika je bila pri vseh zgoraj omenjenih testi krajša od dveh sekund. Testiralo se je: a) dodajanje pravila, b) odpiranje objekta in c) iskanje po pravilih. Testno okolje s ponujenim sistemom se je za izvedbene teste postavilo, kot prikazuje slika 10. Gregor Trampuš: Prenova sistema požarnih pregrad v javni upravi stran 24