Övervakning

För att upptäcka onormala trafikmönster och hackerangrepp stödjer Ciscos nätverksutrustning flera säkerhetsfunktioner som inspekterar nätverkstrafiken på olika nivåer. Så är t.ex. switchar väl lämpade för att inspektera datatrafiken på nivå 2 och 3.

Bild 1: Paketfiltrering

En kritisk funktion i ett nätverk är tilldelning av IP-adresser. Nätverket måste kunna kontrollera att IP-adresser delas ut endast av vissa dedicerade DHCP-servrar (Dynamic Host Configuration Protocol). En falsk eller felkonfigurerad DHCP-server kan orsaka mycket stor skada och i princip ta ner ett nätverk. Säkerhetskontroller i nätverket måste kunna kontrollera att ingen utrustning förfalskar sin IP-adress. Förfalskade avsändaradresser utnyttjas ofta av hackers t.ex. när man vill starta processer som tillåter åtkomst till nätverksresurser.

Genom att inspektera nätverkstrafiken kan otillåtna processer stoppas även om hackerattacker görs med samma protokoll som behöriga nätverksenheter använder. Men tack vare IPS (Intrusion Prevention Systems) kan nätverkstrafiken analyseras på applikationsnivå och identifiera ovanliga nätverkstrafik och stoppas. Ciscos

Bild 2: Intrusion Prevention System

IPS-system finns såväl fristående som integrerade i brandväggar, VPN-utrustning, routrar och switchar.

Övervakning av affärskritiska applikationer

Vissa situationer, exempelvis ett utbrott av en datavirus/mask, leder till onormala trafikmönster i nätverket. Eftersom datorvirusen/masken vill sprida sig så fort som möjligt genererar den extremt mycket trafik. Ett dussintal infekterade maskiner kan konsumera alla tillgängliga nätverksresurser även i ett stort nätverk.

Det säkra nätverket bör därför tillämpa prioritering, vilket innebär att den affärskritiska trafiken alltid kommer fram – även i en överbelastnings situation. Vilka applikationer som är kritiska för verksamheten varierar från företag till företag. Det väsentliga är att denna trafik prioriteras, och att nätverksutrustningen konfigureras därefter, innan en överbelastnings situation uppstår.

Det säkra nätverket måste också kunna övervakas på ett säker sätt men samtidigt vara kostnadseffektivt. Från en central punkt kan definieras och delas ut de policies/regler som gäller i nätverket. Säkerhetspolicy appliceras sedan på all nätverksutrustning – routrar, switchar, brandväggar, VPN-system och IPS-system. Lika viktigt som att definiera och dela ut dessa policy är det att kontrollera resultat. Man bör därför centralt kunna bearbeta information (larm och loggar) som är relevanta för säkerheten i nätverket.

Cisco DNA är idag den mest aktuell säkerhetslösning på Enterprise-nivå

Trots att säkerhetsinformationen kommer från olika typer av utrustning (routrar, switchar, brandväggar, IPS-system, datorer, servrar och applikationer) är det möjligt att redan på ett tidigt stadium upptäcka attacker och vidta åtgärder tack vare automatisk och intelligent bearbetning av säkerhetsinformationen.

Cisco MARS (Monitoring Alarm Resonse System) har varit en robust säkerhetsplattform som idag växlas ut med flera behov-preciserade säkerhetslösningar. En av dessa säkerhetslösningar är Cisco Identity services Engine.

En långlivslängd lärande

I en tid då både användare och nya samarbetsformer kräver allt större mobilitet och öppenhet, ställs företagen inför allt mer avancerade hotbilder. Effektiv IT-säkerhet idag handlar om kunskap och förutseende, om att man håller sig uppdaterad och påläst.