CCoommppuutteerrWWoorrlldd RRoommaanniiaa 22//ffeebbrruuaarriiee//2200004488

DDee ccee iinntteeggrraarree??

Sæ ne amintim cæ existæ multiplecomponente ale unei soluflii de secu-ritate pentru un sistem informatic:firewall, autentificare, monitorizareareflelei etc. Lipsa integrærii acestoraar presupune ca pentru fiecare com-ponentæ sæ existe un set de adminis-tratori, un set de credenfliale de auten-tificare pentru utilizatori, un set deaplicaflii.

De asemenea, la apariflia unei pro-bleme poate fi dificil de identificatsistemul care a cauzat problema orieste posibil sæ fie un subiect situat"între" douæ sisteme øi fiecare dintreele sæ-øi decline responsabilitatea.

Un sistem integrat de securitateare avantajul de a furniza o imagineunitaræ a "security status"-ului øi de aasigura acfliunea coordonatæ a sis-temelor implicate.

Din suita de subsisteme implicateîn sistemele de securitate putemaminti: soluflii pentru construireapoliticii de securitate, soluflii de fil-trare/protecflie perimetru (firewall,detectarea intruziunilor), soluflii deextindere virtualæ a reflelei (VPN),soluflii de autentificare (certificate di-gitale, smart card-uri, biometrice),soluflii de securizare a posturilor delucru (staflii de lucru, servere de ter-minale, tempestizare).

CCoommppoonneennttee uuzzuuaallee aallee ssiisstteemmeelloorr ddeesseeccuurriittaattee iinnffoorrmmaattiiccææ

În cele de mai jos vom vedea caresunt subsistemele care trebuie inte-grate.

❒ PPoolliittiiccaa ddee sseeccuurriittaattee:: este unpas deseori ignorat de cei care con-struiesc "dupæ ureche" sisteme desecuritate, dar absolut esenflial în totceea ce va urma. Întregul sistem desecuritate trebuie sæ funcflioneze con-form unei politici de securitate, ce vafi prestabilitæ. Existæ pachete de soft-ware disponibile care asistæ utiliza-torul în construirea øi monitorizareafelului în care se implementeazæpolitica de securitate (ex.: PentasafeVigillence).

❒ FFiirreewwaallll//VVPPNN sseerrvveerr:: este ceamai tradiflionalæ componentæ pentrusecurizarea unei reflele, realizând pro-tecflia reflelei locale de atacuriledirecte venite din exterior (Internet).Combinat în ultima vreme cu funcflio-nalitæflile unui server, VPN este ocombinaflie formidabilæ care dejaîncepe sæ ne sugereze cæ putem aveaun somn liniøtit cât timp sistemulinformatic funcflioneazæ conectat laInternet.

De asemenea, într-o reflea cu zonesensibile, un firewall de tip "intern"poate separa reflelele cu date senzitivede cele mai puflin importante. Dintrecele mai uzitate firewall-uri,menflionæm Checkpoint VPN-1,Cisco PIX firewall, Netscreen.

❒ CCoonntteenntt sseeccuurriittyy sseerrvveerr ((iinncclluu--ssiivv aannttiivviirruuss)):: soluflia propusæ are cascop protejarea reflelei interneîmpotriva atacurilor de tip vandal sauvirus. Se asiguræ astfel o protecfliecompletæ, de tip "content security"pentru toate conexiunile stabilite înperimetrul reflelei locale, inclusivpentru cele stabilite prin firewall.

❒ SSiisstteemmuull ddee aauutteennttiiffiiccaarree ccuucceerrttiiffiiccaattee ddiiggiittaallee ((PPKKII)):: insuficientasecuritate oferitæ de uzualele parolememorate de utilizatori a generat onouæ tehnologie capabilæ sæ rezolveaceastæ problemæ: certificatele digi-tale. Folosirea acestora a impus, larândul ei, o altæ tehnologie, øi anumeinfrastructura publicæ de chei sau,conform acronimului cunoscut înindustrie, PKI.

❒ SSmmaarrtt ccaarrdd--uurrii:: soluflia de aut-entificare îøi propune întærireanivelului de securitate în sistem, aøacum va fi stabilit în Security Policy,øi are la bazæ sistemul pe bazæ decartelæ magneticæ. Avantajele acestuigen de sistem de autentificare includstocarea criptatæ a tuturor parolelorutilizatorului, eliminarea necesitæfliide a memora parolele de cætre utiliza-tor (este nevoie doar de memorareacodului PIN pentru accesarea smartcard-ului, eliminând cazul clasic încare utilizatorul are o serie de parolescrise pe un post-it lipit pe monitor),automatizarea operafliunilor de logon,conform unui profil repartizatfiecærui utilizator.

❒ SSoolluuflfliiiillee ddee aauutteennttiiffiiccaarreebbiioommeettrriiccææ:: este un tip de au-tentificare ce foloseøte elemente bio-logice pentru identificarea utilizato-rilor (amprenta digitalæ, irisul, ca-racteristici ale feflei etc.) øi poate ficombinatæ cu un smart card care sæstocheze datele de identificare.

❒ DDeetteeccttaarreeaa iinnttrruuzziiuunniilloorr:: solufliade Intrusion Detection (IDS) începesæ lucreze acolo unde soluflia deFirewall îøi înceteazæ activitatea. Întimp ce solufliile de firewall verificæaspectele "connection-oriented" aletraficului, IDS îøi focalizeazæ efor-turile asupra conflinutului extins, atâtal header-ului IP, cât øi al datelor pro-priu-zise. Eficienfla IntrusionDetection se bazeazæ pe amplasareade senzori în punctele nevralgice alereflelei, care analizeazæ continuutraficul øi urmæresc semnele de atacsau acfliunile nepermise. Soluflii exce-lente de detectare oferæ ISS, CiscoSystems.

❒ CCoonnttrroolluull ssttaaflfliiiilloorr ddee lluuccrruu:: sepoate obfline prin solufliihardware/software de permitere/respingere a accesului la resurselesistemului sau ale reflelei sau prinsoluflii de tip "terminal server".Soluflia "terminal server" confline unserver central care stocheazæ øiruleazæ toate aplicafliile øi con-troleazæ, de asemenea, terminaleleutilizatorilor. Caracteristicile desecuritate ale acestei soluflii decurgdin faptul cæ între server øi terminalenu se vehiculeazæ decât date de con-trol ale terminalului (afiøæri ferestre,input-uri de la tastaturæ, mouse), færæca datele de lucru sæ pæræseascæ vreo-datæ serverul. Cea mai larg utilizatæsoluflie de acest tip este cea furnizatæde firma Citrix prin suita de produsemetaframe.

❒ SSoolluuflfliiii TTEEMMPPEESSTT:: pentrurespectarea standardelor extrem destricte în controlul informafliei se potutiliza soluflii tip TEMPEST care îm-

IInntteeggrraarreeaa ssoolluuflfl ii ii lloorr ddee sseeccuurrii ttaattee

SSEECCUURRIITTAATTEE II TT

GGaabbrriieell NNEEAAGGOOEE,,SSoolluuttiioonnss GGrroouupp MMaannaaggeerr

Procesul de construire a unei

soluflii pentru secu-ritatea sistemelor

informatice devinemai uøor o datæ cudezvoltarea gamei

de produse de secu-ritate informatice,

iar întrebarea fundamentalæ se

schimbæ din "ce soluflie putemimplementa?" în

"ce solufliealegem?".

Ræspunsul laaceastæ întrebare

este puflin mai com-plicat øi ar trebui sæ

sune cam aøa: "cele mai bune

produse de pe piaflæ,pæstrând un nivel

necesar de integrare".

CCoommppuutteerrWWoorrlldd RRoommaanniiaa 22//ffeebbrruuaarriiee//22000044 99SSEECCUURRIITTAATTEE II TT

piedicæ interceptarea de informafliiprin "spionare" electromagneticæ.

❒ SSoolluuflfliiii ddee mmaannaaggeemmeenntt cceennttrraa--lliizzaatt:: oferæ posibilitatea admin-istrærii componentelor sistemelorde securitate dintr-un singur punct,asigurând colectarea øi corelareaevenimentelor øi a alarmelor.

NNiivveelluurriillee ddee iinntteeggrraarree îînn ssiisstteemmeellee ddee sseeccuurriittaattee iinnffoorrmmaattiiccææ

IInntteeggrraarree llaa nniivveelluull ppoolliittiicciiii ddee sseeccuurriittaatteeCa o regulæ simplæ, toate compo-

nentele unui sistem de securitatetrebuie sæ se supunæ aceloraøi reg-uli, sumarizate în politica de securi-tate.

IInntteeggrraarree llaa nniivveell ddee aauutteennttiiffiiccaarreeMultiplele componente ale unui

sistem de securitate genereazæ øietape multiple de autentificare autilizatorilor pe mæsuræ ce are loc ointersecflie între sesiunea de lucru aunui utilizator øi un element de pro-tecflie din sistemul de securitate. Deexemplu, folosind un sistem PKI dela Entrust, putem automatiza auten-tificærile pentru:

✔ autentificarea cu smart card-uri;

✔ autentificarea în domeniulMicrosoft Windows;

✔ autentificarea pe un firewallCheckpoint;

✔ autentificarea pe un clientVPN Checkpoint;

✔ autentificarea pe staflii delucru diskless;

✔ autentificarea într-un mediuCitrix.

Procesul de autentificare are loctransparent pentru utilizator, sis-temul de certificate conlucrând cusistemul directory pentru auto-matizarea procesului.

IInntteeggrraarree llaa nniivveell ddee eevveenniimmeenntteeIntegrarea la nivel de eveni-

mente ajutæ sistemul informatic încoordonarea acfliunilor deprotecflie/ripostæ. Integrarea dintrefirewall øi content server asiguræ un

flux de informaflii dublu sens:

✔ FFiirreewwaallll -->> ccoonn--tteenntt sseerrvveerr:: fiøierele

traficate prin firewall sunttrimise la verificare la content ser-ver (ex.: verificæri - viruøi, adreseWeb cu conflinut nepermis, ataøa-mente e-mail cu conflinut de infor-maflii nepermise);

✔ CCoonntteenntt sseerrvveerr -->> ffiirreewwaallll:: înurma verificærilor, content server-ul comunicæ firewall-ului dacæ sæpermitæ sau nu trecerea fiøieruluirespectiv.

Integrarea firewall server - sis-tem de intruziuni asiguræ un flux deinformaflii care permite reacflia ra-pidæ a sistemului în condifliile uneiintruziuni reuøite. Astfel, o datæremarcat un eveniment de tipintruziune, sistemul de detectare aintruziunilor poate trimite ocomandæ cætre firewall, de în-chidere a conexiunii asociate cuevenimentul respectiv.

IInntteeggrraarree llaa nniivveell ddee mmaannaaggeemmeennttUn server comun de adminis-

trare a tuturor componentelor careasiguræ o configurare unitaræ a sis-temului de securitate, precum øi unsingur punct de colectare øi core-lare a alarmelor uøureazæ muncaadministratorilor de reflea, a audito-rilor, dar, mai ales, a operatorilorcare monitorizeazæ sistemul øi caresunt în poziflia de a lua mæsuri însituaflii de atacuri informatice.

AAlleeggeerreeaa ccoommppoonneenntteelloorr ssiisstteemmuulluuii ddee sseeccuurriittaatteeDacæ ar fi sæ alegem fiecare

componentæ în parte verificândintegrarea subsistemelor folosite,ajungem la un timp foarte mare deconcepere a solufliei øi la unbuget care poate da emofliinegative departamentelorfinanciare.

O soluflie posibilæ este sæ alegemcomponentele cele mai importante,sæ ne concentræm asupra resurselorde integrare øi apoi sæ extindemetapizat sistemul.

Færæ discuflie, însæ, soluflia ceamai bunæ este sæ apelæm la un inte-grator de soluflii, care poate pune ladispoziflia clientului experienfla saîn implementarea sistemelor infor-matice, precum øi posibilitatea de aoferi module software dezvoltate"in-house" care faciliteazæ inte-grarea componentelor.

EExxeemmpplluu ddee ssiisstteemm ddee sseeccuurriittaattee iinnffoorrmmaattiicc iimmpplleemmeennttaatt ddee SS&&TTDiagrama de mai sus exempli-

ficæ un sistem informatic de securi-tate care a fost implementat de S&Tøi care prezintæ avantajul unui com-promis optim între nivelul de pro-tecflie øi bugetul necesar al benefi-ciarului.

CCoommppoonneenntteellee aalleessee aauu ffoosstt::✔ Platforma hardware Nokia +

software firewall Checkpoint VPN-1 cu clienfli Securemote pen-tru utilizatorii mobili;

✔ Platforma hardware Proventia+ ISS RealSecure Network Sensorpentru intrusion detection;

✔ Soluflie PKI Entrust;✔ Smart card-uri + cititoare

Datakey;✔ Platforma hardware Nokia +

software firewall CheckpointFirewall-1 pentru firewall intern.

Astfel, cu un efort financiar reduss-au asigurat servicii pentru pro-

tecflia la atacuri din Internet øi facil-itæfli VPN pentru utilizatorii mobili(firewall+vpn), protecflia reflelelorîn cazul reuøitei unei penetræri asistemului de dincolo de firewallsau a unui utilizator intern ræuintenflionat (sistemul de detecflie aintruziunilor), controlul accesuluiutilizatorilor la sistemul informatic(PKI + smart card-uri), protejareaaccesului la serverul aplicaflii cudate sensibile (firewall intern).

La nivel de autentificare, inte-grarea a funcflionat nativ prinfolosirea certificatelor digitale dinsistemul PKI entrust la autentifi-carea cu smart card, la firewall-ulCheckpoint øi pe clienflii VPN.

Integrarea la nivel de eveni-ment s-a realizat între firewall øi sistemul IDS de la ISS, Real Secure având

posibilitatea de a comanda firewall-ului închiderea conexiunilor ilegale. ■

SS&&TT RRoommâânniiaaSSttrr.. FFaabbrriiccaa ddee GGlluuccoozzææ nnrr.. 77,,

TTeelleeffoonn:: ((002211))223333..2277..0000

FFaaxx:: ((002211))223333..2277..0011

ssnntt@@ssnntt..rroo

wwwwww..ssnntt..rroo