1. Nätverkssäkerhet

Nätverkssäkerhet innebär tillämpning av protokoll, teknik, verktyg och hantering av säkerhetsmekanismer implementerade i mjukvara som installeras på nätverksoperativsystem som till exempel Cisco IOS. Dessa mjukvarubaserade säkerhetsmekanismer är en komplement till hårdvarubaserade säkerhetslösningar, exempelvis brandväggar.

Bild 1: Nätverkssäkerhet

Från ett generellt perspektiv är nätverkssäkerhets syfte att skydda nätverket och dess nätverkshanterare fysiskt genom att placera dessa på speciella platser där obehöriga åtkomst kan förhindras. Men nätverkssäkerhet handlar inte om att isolera ett nätverk, särskilt inte dagens nätverk som är öppnade till samarbete med syfte att tillhandahålla tjänster för allmänheten.

Nätverkssäkerhet uppfattas idag som en samling av teknik som förhindrar eventuella attacker eller förebygger metoder som kan minimera effekterna av realtidsattacker.

Organisationers verksamhet

Nätverkssäkerhet har ett direkt samband med organisationers verksamhet, till exempel affärer, e-handel, banker, människors privatliv, sjukhusens IT-funktionalitet, informationsflöde och integritet kan påverkas direkt av säkerhetsbrister.

pic3-targeting-organizations
Bild 2: South Korea under attack

Attacker till en organisationsverksamhet kan leda till förlorade intäkter för företag, stöld av intellektuell egendom, juridiska konflikter, och kan även hota den allmänna säkerheten.

Attacker till länder är idag inte längre små utan i stor skala, exempelvis när flera Sydkoreas myndigheters webbplatser attackerades juli 2009. Angriparna använde sig av DoS-attacker som styrde stora mängder datatrafik mot Sydkoreas myndigheters webbplatser som till slut kraschade av överbelastning. Detta var början till flera cyberattack exempelvis 2013 och nu eskaleras ännu till högre nivåer.

Professionella säkerhetsspecialister

För att garantera säkerhet i ett nätverk krävs professionella yrkeskunniga säkerhetsspecialister som ska ständigt vara medvetna om nya och framväxande hot och attacker till nätverk. Nätverkssäkerhetsspecialister har fördjupade kunskaper inom Nätverk, programmering, databas, IT-management och inte minst säkerhet. Dessa specialister har som utgångspunkt i fokus skydda de mest sårbara enheter, nätverksanvändare och deras applikationer. så att det kan minimeras säkerhetsbrister i själva organisationers nätverk.

Vid landnivå är ingen nyhet att flera länder, inklusive Sverige, rekryterar hackare så att speciella styrkor organiseras med syfte att skydda deras länder men också attackera andra länder. En huvudrubrik av SvD publicerades 21 juni 2011:

Nordkorea rekryterar unga hackare till en ”cyberkrigsenhet” med uppgift att utföra förödande nätattacker mot bland annat Sydkorea och USA, men även Europa. Två avhoppande nordkoreaner berättar för Al Jazeera om Nordkoreas allt mer omfattande strategi mot fiender i väst.

Primära ansvaret

Nätverkssäkerheten är det primära ansvaret för alla nätverksanvändare och inte endast för säkerhetsspecialisterna. Av denna anledning bör användare utbildas kring alla möjliga nätverkssäkerhetsfrågor.

Tittar vi några år tillbaka i Internets utveckling och ser vi att nätverksanvändare var till en början sällan inblandad i aktiviteter som skulle skada andra användare, även om Internet var inte en säker miljö. Nätverksanvändare tänkte inte mycket på huruvida deras online-aktiviteter skulle riskeras av diverse attacker. Men när de första datavirus och den första DoS attack inträffade, började användares uppfattning av nätverkssäkerhet förändras. De flesta datoranvändare, hemma och företag, använder ett antivirusprogram eller ett omfattande säkerhetssystem och de flesta klient-operativsystem inkluderar ett personligt mjukvarubaserade brandvägg.

Vid Internetuppkomst sysslade nätverkstekniker med att ansluta nätverksenheter så av vi människor kunde kommunicera med varandra. I dagens nätverk bör nätverkstekniker minst grundutbildad i programmering och nätverkssäkerhet.

 Utveckling av nätverkssäkerhet

En av de första säkerhets verktyg var intrångsdetekteringssystem (IDS). Verktyget utvecklades först av SRI International 1984. En IDS ger realtidsdetektering av vissa typer av attacker medan de pågår. Det gör att nätverkssäkerhets specialister snabbt kan reagera och minska de negativa effekterna av attackerna.

Ett intrångsdetekteringssystem (IDS) är utformat för att övervaka all inkommande och utgående nätverksaktivitet och identifiera eventuella misstänkta mönster som kan indikera en attack mot ett nätverk- eller system. Ett IDS anses vara ett passivt övervakningssystem, eftersom en IDS-produkters huvuduppgift är att varna nätverksadministratörer om misstänkt aktivitet som äger rum, inte förhindra det.

Termen IDS täcker faktiskt en stor mängd fysiska och mjukvarubaserade produkter. En IDS-lösning kan komma i form av billigare shareware eller fritt distribuerade open source-program, till en mycket dyrare leverantörsprogramvara. Dessutom består vissa IDS av både programvaror och hårdvaruapparater samt sensorer som installeras på olika strategiska platser.

Bild 4: Intrusion Detection System – IDS

Bild 5: Intrusion Prevention System – IPS

Intrusion Prevension System – IPS

I slutet av 1990-talet, började Intrusion Prevention System eller sensor (IPS) att ersätta IDS. Dessa IPS-sensorer gjorde möjligt att upptäcka skadlig aktivitet och automatiskt blockera attacken i realtid.

För att upptäcka oönskad aktivitet, t.ex. intrång och skadlig kod kan olika teknik användas:

  • Signaturbaserad detektion
  • Anomalibaserad detektion
  • Reputation-baserad detektion

IPS eller intrångsförhindrande system är definitivt nästa nivå av säkerhetsteknik med förmåga att tillhandahålla säkerhet på alla systemnivåer, från operativsystem till datapaket. IPS tillhandahåller regler för nätverkstrafik och det kan det göra tillsammans med en IDS. Dessa två säkerhetsmaskiner varnar skadliga aktivitet samtidigt som förhindrar  misstänkta trafik och låta säkerhetsansvariga vidta åtgärder. Följ länken som visar olika produkter rörande IPS

För närvarande finns det två typer av IPS som liknar IDS. De består av host-baserade för intrångsskyddssystem (HIPS) och nätverksbaserade intrångsskyddssystem (NIPS).

Det intressanta med dessa två säkerhetssystem, IDS och IPS, är att båda kan implementeras på Cisco IOS. Det kombinerat med andra säkerhetskonfigurationer exempelvis access listor, brandvägg, VLAN och VPN teknologi är faktiskt väletablerade säkerhetslösningar.

Skillnader mellan IDS och IPS

  • Där IDS informerar om en eventuell attack, försöker en IPS att stoppa den.
  • Ett annat stort steg över IDS är att IPS har förmåga att förhindra kända intrångs signaturer, men även några okända attacker på grund av sin databas över generiska attackbeteenden. IPS är allmänt ansedd vara “nästa generation” av IDS.

Här nedan förklarar Keith Barker, i en video på YouTube, skillnader mellan IDS och IPS

Dedikerade brandväggar

pic7-packet-filtering
Bild 6: Paketfiltrering brandvägg

Förutom IDS och IPS-lösningar, har dedikerade/specialiserade brandväggar utvecklats för att förhindra oönskad trafik. 1988, Digital Equipment Corporation (DEC) skapade den första nätverks brandvägg i form av ett paketfilter. Dessa tidiga brandväggar inspekterade paket för att se om styrinformation (header) i paketen matchade fördefinierade regler. Beroende på kontrollmekanismers resultat kunde brandväggar ta beslutet om att vidarebefordra eller ta paketen bort från nätet.

1989, AT & T Bell Laboratories utvecklade en annan typ av brandvägg, stateful brandvägg. Stateful brandväggar använder också fördefinierade regler för att tillåta eller neka trafik. Men till skillnad från paketfiltrering brandväggar kan stateful brandväggar identifiera etablerade kontakter mellan kommunicerande enheter och avgöra om ett paket tillhör en existerande dataflöde.

Dessa dedikerade brandväggar avlastar routrars funktioner som annars var de tvungna också att hantera brandväggsfunktioner. Ciscos Adaptive Security Appliance (ASA) finns som en fristående stateful brandvägg.

pic18-asa-5505
Bild 7: Ciscos Adaptive Security Appliance

Till en början har brandväggsfunktioner baserat sig på flera filter. Men eftersom hoten blev mer sofistikerade var dessa filter inte tillräckliga och man behövde utforska och analysera närmare på Nätverksskiktet och applikationsskiktets trafik. Av denna anledning utvecklade Cisco Security Intelligence Operations (SIO). SIO är en molnbaserad tjänst som identifierar globala hot och samlar information kring deras beteende. Insamlad informationen används i sofistikerade analyser som resulterar oftast i bättre försvarshantering.