Nätverkssäkerhetspolicy

Varje dag läser vi i tidningarna om ständigt återkommande attacker mot vår IT-infrastruktur. Ord som hackers, virus, spam och belastningsattacker blir allt vanligare i dagens IT-samhälle. Några exempel:

  • En mask har invaderat det interna nätverket och sprider sig blixtsnabbt från dator till dator. Infekterade datorer börjar fylla nätet med trafik för att smitta så många andra datorer som möjligt. Efter några sekunder är infrastrukturen så hårt belastad att alla legitima applikationer har slutat att fungera.
  • En hacker har skickat ett e-postmeddelande med en bilaga till en av våra anställda. Den anställdes maskin beter sig till synes helt normalt, men i bakgrunden samlar trojanen – som fanns dold i bilagan – information från datorn och kopierar filerna till en server på Internet.
  • En missnöjd anställd är på väg att säga upp sig. Först vill han dock ta med sig användbar information till sin nästa arbetsgivare. I det tysta installerar han en ”sniffer” på sin dator för att försöka fånga upp lösenord på nätverket. Med hjälp av ett av dessa lösenord kan han sedan ta sig in på exempelvis en filserver han normalt inte har access till.
  • En utpressare hotar ett webbaserat företag – som är helt beroende av sin webbplats. Om man inte betalar kommer tusentals zombies (hackade maskiner som fjärrstyrs av utpressaren) att börja generera en så hög last mot webbplatsen, att de legitima kunderna stängs ute.

Hur skulle du kunna hantera de riskerna?

Att upprätta en säkerhetsplan är ett viktigt steg för alla företag som vill på ett metodiskt sätt skydda sitt nätverk. I en säkerhetsplan bör man först definiera vilka risker man löper och är villig att löpa. I säkerhetsplanen bestämmer man sedan den process som ska användas för att hantera riskerna. En effektiv metod att beskriva den löpande säkerhetsprocessen är det s.k. säkerhetshjulet.

Bild 1: Säkerhetshjulet

Allt cirklar kring säkerhetspolicyn där man noga har definierat risksituationen:

  • Vilka risker kan vi ta?
  • Vilka risker vill vi minimera?
  • Vad ska vara tillåtet?
  • Etc.

Hur säkras nätverket?

  • Man säkrar nätverket med tillgängliga verktyg som t.ex. brandväggar, antivirusskydd och system för engångslösenord, men även med nätverksutrustning.
  • Man övervakar systemet kontinuerligt, identifierar eventuella avvikelser och sätter vid behov in motåtgärder.
  • Man testar systemet regelbundet och då även ansvarig personal för att testa hur snabbt man upptäcker en attack. Tester sker ofta med hjälp av externa konsulter, men även med automatiserade analysverktyg.
  • Man hanterar systemet och utvecklar det efterhand i funktion av riskförändringar.

Skalsäkerhet eller internsäkerhet?

Under mitten av 1990-talet var brandväggen företagens centrala verktyg för att säkra IT-systemen. Likt byggandet av en traditionell försvarsmur placerade man en brandvägg mellan det interna nätet och Internet för att stoppa hackers från att nå in i det interna nätverket.

Bild 2: Skalsäkerhet

Även om brandväggen fortfarande är ett mycket funktionellt verktyg för att höja säkerheten, har allt fler företag insett att denna typ av skalsäkerhet inte är tillräcklig. Och några av anledningarna till detta är:

  • Ökad mobilitet. En bärbar – och oskyddad – dator, som ena dagen var uppkopplad mot Internet på en kafeteria utanför företaget, kan nästa dag kopplas upp på företagets interna nätverk.
  • Sofistikerade attacker. Många av dagens attacker från hackare och virus gömmer sig i applikationer – t.ex. webb och e-post – som brandväggen tillåter.
  • Dynamiska relationer. När ett företag utökar samarbete med andra företag och gör fusioner, partnerskap och nya affärsrelationer gör det interna nätet alltmer komplext.

När brandväggen inte räcker till för att trygga infrastrukturen, ligger lösningen istället i en ny syn på de interna komponenterna i nätverket.

Höj säkerheten i nätverket

Att etablera ett betydligt mer robust och djupgående försvar än ett skalsäkerhet är egentligen inte komplicerat. Lösningen ligger i att utnyttja säkerhetsfunktionerna i nätverksutrustningen innanför brandväggen. Att använda redan befintliga funktioner är dessutom mycket kostnadseffektivt. Utrustning som routrar, switchar och accesspunkter finns redan på plats och förmodligen övervakas de redan av övervakningssystemen. Att addera säkerhetsfunktioner till existerande utrustning minimerar både kapital- och driftskostnader.

Kontrollera användarna och deras datorer

Säkerheten måste vara lika hög oavsett hur man ansluter sig, fjärranslutning eller lokalt. Det säkra nätverket måste kunna identifiera de användare som ansluter sig, och begränsa respektive användares rättigheter. Förutom att användarna identifieras bör säkerhetsnivån på deras datorer fastställas, t.ex. antivirusprogrammet är uppdaterat och tilldela rättigheter granskas.

Låt mig illustrera med några praktiska exempel varför sådana kontroller bör prioriteras:

  • Åsa tillhör personalavdelningen. Hennes dator har de senaste antivirusuppdateringarna och de rekommenderade
    ”Hotfixarna” från Microsoft. Därför ska hon ha full åtkomst till Internet, men även till gemensamma servrar och till
    personalavdelningens lönesystem.
  • Ylva är säljchef och borde ha tillgång till såväl Internet som filservern med säljavdelningens offerter. Men eftersom hon
    inte har uppdaterat sitt antivirusprogram efter semestern har hennes dator satts i karantän. Den får endast tillgång till en
    server från vilken hon kan ladda ned de senaste uppdateringarna. När uppdateringarna är installerade återfår hon
    automatiskt sina rättigheter.
  • Ulf är konsult och har inte tillgång till det interna nätet. Däremot får han komma åt Internet och han tillåts också koppla upp sig med VPN mot sitt företag.

För att kunna erbjuda dessa och ytterligare en mängd säkerhetsfunktioner, har Cisco utvecklat Cisco Network Admission Control (Cisco NAC), en arkitektur som ingår i Ciscos nätverksutrustning (routrar, switchar, trådlösa accesspunkter) och som även fungerar med produkter från flera andra leverantörer, t.ex. antivirusprogram från Trend Micro, Mcafee och Symantec samt en rad andra leverantörer.

Bild 3: Cisco Network Admission Control

Skydda datorerna

Cisco NAC kräver att alla maskiner som ansluter sig till ett nätverk har en tillräcklig säkerhetsnivå. Kraven varierar beroende på verksamheten. Antivirusprogram med aktuella uppdateringar installerade och en personlig brandvägg är dock ett baskrav.

Men även det bästa virusskydd kan svikta vid en s.k. Day Zero-attack – en attack som inträffar innan virusskydd eller uppdatering finns tillgängliga. För att stoppa Day Zero-attacker har Cisco utvecklat Cisco Security Agent (CSA) som, istället för att utgå från kända signaturer, använder avancerad beteendeanalys för att identifiera och stoppa nya attacker.

I CSA finns hundratals beteenderegler fördefinierade, men dessa kan naturligtvis modifieras och nya, egna regler kan adderas. Så här kan reglerna se ut:

  • Ett program som laddats ned från nätet öppnar upp sessioner mot flera andra maskiner. Detta skulle kunna vara ett datorvirus och stoppas därför.
  • En webbläsare vill plötsligt modifiera en viktig systemfil – förmodligen beroende på ett säkerhetshål i webbläsaren. Detta stoppas eftersom beteendet inte är normalt.
  • En webbserverprocess börjar skriva filer i stället för att läsa dem. Detta stoppas då det är ett onormalt beteende för en webbserver som tyder på att den har blivit angripen.

Begränsa trafikflödena

Nätverkstrafiken måste också kunna begränsas, alla behöver inte komma åt hela nätverket. Exempelvis ska endast personalavdelningen och ledningen kunna komma åt personalavdelningens servrar. Det kan åstadkommas till exempel genom att dela nätverket i olika Virtuella LAN (VLAN – Virtual Local Area Network). Man behöver inte extra fysiska nätverksutrustning eftersom VLAN är mjukvarubaserat. En annan fördel är att full mobilitet kan behållas. När datoranvändare på olika avdelningar ska byta plats behöver de anslutning till rätt VLAN.

Privata Virtuella LAN (Private VLAN eller Private VLAN Edge) är ett annat sätt att separera nätverket. Funktionen förhindrar direkt IP-kommunikation mellan två användare, även om de sitter på samma VLAN. Därmed minskar risken för att t.ex. en användare ska smitta en annan via en mask. Naturligtvis kan alla användare fortfarande kommunicera med varandra via e-post eller instant messaging-applikationer, men genom att trafikflödena begränsas är det möjligt att kontrollera exakt hur denna kommunikation sker.

Inspektera nätverkstrafiken

För att upptäcka onormala trafikmönster och hackerangrepp stödjer Ciscos nätverksutrustning flera säkerhetsfunktioner som inspekterar nätverkstrafiken på olika nivåer. Så är t.ex. switchar väl lämpade för att inspektera datatrafiken på nivå 2 och 3, där de kan identifiera protokoll kommunikationsparterna använder.

En kritisk funktion i ett nätverk är tilldelning av IP-adresser. Nätverket måste kunna kontrollera att IP-adresser delas ut endast av vissa dedicerade DHCP-servrar (Dynamic Host Configuration Protocol). En falsk eller felkonfigurerad DHCP-server kan orsaka mycket stor skada och i princip ta ner ett nätverk. Säkerhetskontroller i nätverket måste kunna kontrollera att ingen utrustning förfalskar sin IP-adress. Förfalskade avsändaradresser utnyttjas ofta av hackers t.ex. när man vill starta processer som tillåter åtkomst till nätverksresurser.

Genom att inspektera nätverkstrafiken kan otillåtna processer stoppas även om hackerattacker görs med samma protokoll som behöriga nätverksenheter använder. Men tack vare IPS (Intrusion Prevention Systems) kan nätverkstrafiken analyseras på applikationsnivå och identifiera ovanliga nätverkstrafik och stoppas. Ciscos IPS-system finns såväl fristående som integrerade i brandväggar, VPN-utrustning, routrar och switchar.

Här nedan en video som förklarar hur en Firewall kan inspektera nätverkstrafiken:

Prioritera affärskritiska applikationer

Vissa situationer, exempelvis ett utbrott av en datavirus/mask, leder till onormala trafikmönster i nätverket. Eftersom datorvirusen/masken vill sprida sig så fort som möjligt genererar den extremt mycket trafik. Ett dussintal infekterade maskiner kan konsumera alla tillgängliga nätverksresurser även i ett stort nätverk.

Det säkra nätverket bör därför tillämpa prioritering, vilket innebär att den affärskritiska trafiken alltid kommer fram – även i en överbelastningssituation. Vilka applikationer som är kritiska för verksamheten varierar från företag till företag. Det väsentliga är att denna trafik prioriteras, och att nätverksutrustningen konfigureras därefter, innan en överbelastningssituation uppstår.

Hantera Internetuppkopplingar

Kopplingen mot Internet används vanligtvis för flera ändamål, främst utgående och inkommande e-post, utgående surfning mot Internet, inkommande surfning mot den egna organisationens publika webbservrar samt för att ge distansarbetare möjlighet att koppla upp sig via VPN.

Bild 3: VPN typer

VPN-uppkopplingar, till exempel för distansarbetare, kan hanteras av antingen brandväggen eller med en separat VPN-utrustning. I bägge fallen krävs stöd för stark kryptering i hårdvara och starka identifieringsmetoder som t.ex. certifikat.

För distansarbetare finns två olika teknik:

  • VPN baserade på IPSec (Internet Protocol Security), som kräver en IPSec-klient på datorn
  • Webbaserade VPN, som inte kräver en förinstallerad klient på datorn.

Eftersom båda uppkopplingsformerna har för- och nackdelar, är det ett stort plus om VPN-utrustningen kan hantera båda. I anslutning till Internetuppkopplingen finns också företagets publika servrar, ofta webb- och e-postservrar. Dessa servrar ska naturligtvis säkras upp på bästa sätt för respektive operativsystem och applikation. Genom att installera en speciell säkerhetsprogramvara som Cisco Security Agent (CSA) är det möjligt att höja säkerheten ytterligare.

Skydda ditt nätverk från överbelastningsattacker

Den typ av attack som kanske är svårast att försvara sig emot är överbelastningsattacken. En sådan attack utförs av en angripare som fjärrkontrollerar ett mycket stort antal datorer (ofta bredbandsanslutna datorer som blivit hackade). Dessa s.k. zombies används sedan för att generera enorma mängder trafik mot den attackerade webbplatsen vilket kan också påverka operatörens nätverk ifall inte tillräckliga säkerhetsmekanismer tillämpats. Bästa sättet att hantera detta är att välja en operatör som förstår riskerna – och som har investerat i utrustning och personal för att bekämpa och stoppa denna typ av attacker.

Övervaka nätverkstrafiken.

Det säkra nätverket måste också kunna övervakas på ett säker sätt men samtidigt vara kostnadseffektivt. Från en central punkt kan definieras och delas ut de policies/regler som gäller i nätverket. Säkerhetspolicy appliceras sedan på all nätverksutrustning – routrar, switchar, brandväggar, VPN-system och IPS-system. Lika viktigt som att definiera och dela ut dessa policy är det att kontrollera resultat. Man bör därför centralt kunna bearbeta information (larm och loggar) som är relevanta för säkerheten i nätverket.

Cisco DNA är idag den mest aktuell säkerhetslösning på Enterprise-nivå

Trots att säkerhetsinformationen kommer från olika typer av utrustning (routrar, switchar, brandväggar, IPS-system, datorer, servrar och applikationer) är det möjligt att redan på ett tidigt stadium upptäcka attacker och vidta åtgärder tack vare automatisk och intelligent bearbetning av säkerhetsinformationen.

Cisco MARS (Monitoring Alarm Resonse System) har varit en robust säkerhetsplattform som idag växlas ut med flera behov-preciserade säkerhetslösningar. En av dessa säkerhetslösningar är Cisco Identity services Engine.

En långlivslängd lärande

I en tid då både användare och nya samarbetsformer kräver allt större mobilitet och öppenhet, ställs företagen inför allt mer avancerade hotbilder. Effektiv IT-säkerhet idag handlar om kunskap och förutseende, om att man håller sig uppdaterad och påläst.