Cisco Network Security - Zabezpieczanie punktów końcowych sieci

1. Przykłady ataków na przedsiębiorstwa:
  • Ataki DoS na sieć organizacji, aby zdegradować lub nawet zatrzymać publiczny dostęp do niej
  • Naruszenie serwera WWW organizacji, aby zniszczyć jej obecność w sieci 
  • Naruszenie serwerów danych i hostów organizacji w celu kradzieży poufnych informacji
Wymagane są różne urządzenia zabezpieczające sieć w celu ochrony granic sieci przed dostępem z zewnątrz. Mogą to być urządzenia takie jak utwardzony ISR świadczący usługi VPN, urządzenie zapory sieciowej ASA, IPS i serwer AAA.


2. Zarówno istotne jest zabezpieczenie wewnętrznej sieci LAN co jej zewnętrznego obwodu. Należy w szczególności zwrócić uwagę na:
  • Punkty końcowe - Hosty zwykle składają się z laptopów, komputerów stacjonarnych, serwerów i telefonów IP, które są podatne na ataki związane z złośliwym oprogramowaniem. Punkty końcowe obejmują również kamery wideo, urządzenia punktu sprzedaży i urządzenia z Internetu Rzeczy. 
  • Infrastruktura sieciowa - Urządzenia infrastruktury sieci LAN łączą punkty końcowe i zwykle obejmują przełączniki, urządzenia bezprzewodowe i urządzenia telefoniczne IP. Większość tych urządzeń jest podatna na ataki związane z siecią LAN, w tym ataki przepełnienia tablicy adresów MAC, ataki spoofingowe, ataki związane z DHCP, ataki burzy sieci LAN, ataki manipulacji STP i ataki VLAN. Jest to kluczowe dla małych lokalizacji oddziałów, które muszą zabezpieczyć lokalne połączenie internetowe. Zintegrowany w ISR Snort IPS jest opłacalną alternatywą dla lokalizacji biur oddziałów, ponieważ nie jest wymagane oddzielne urządzenie zapory.
3. Zabezpieczenia używane w przeszłości przez administratorów sieci w przedsiębiorstwach:
  • Oprogramowanie antywirusowe/antymalware - Jest to oprogramowanie zainstalowane na hoście w celu wykrywania i łagodzenia wirusów i malware. Firmy, które dostarczają oprogramowanie antywirusowe to np. Norton, TotalAV, McAfee, MalwareBytes.
  • Host-based IPS - Jest to oprogramowanie zainstalowane na lokalnym hoście do monitorowania i raportowania konfiguracji systemu i aktywności aplikacji, zapewniające analizę logów, korelację zdarzeń, sprawdzanie integralności, egzekwowanie polityki, wykrywanie rootkitów i alarmowanie. Np. Snort IPS, OSSEC i Malware Defender, wśród innych. 
  • Zapora oparta na hoście - Jest to oprogramowanie zainstalowane na hoście, które ogranicza przychodzące i wychodzące połączenia do tych zainicjowanych tylko przez ten host. Niektóre oprogramowanie zapory może również zapobiegać zainfekowaniu hosta i zatrzymać zainfekowane hosty przed rozprzestrzenianiem malware do innych hostów. Zawarte w niektórych systemach operacyjnych, takich jak Windows, lub produkowane przez firmy takie jak NetDefender, Zonealarm, Comodo Firewall i wiele innych.
4. W związku z nowymi urządzeniami mobilnymi, zasadą BYOD ("przynieś swoje urządzenie") konieczna była zmiana podejścia zabezpieczenia urządzeń końcowych.

5. Większe organizacje wymagają ochrony przed, podczas i po ataku. Administratorzy IT muszą być znać informacje:
  • Skąd przyszedł atak
  • Jaka była metoda wykorzystania i punkt wejścia
  • Które systemy zostały dotknięte
  • Co zrobiło wykorzystanie
  • Jak możemy odzyskać się po wykorzystaniu
  • Jak możemy zminimalizować podatność i przyczynę
Organizacje muszą również chronić swoje punkty końcowe przed nowymi zagrożeniami i zapewniać środki ochrony w postaci:
  • oprogramowanie antymalware - ochrona punktów końcowych przed złośliwym oprogramowaniem.
  • filtracja spamu - zapobieganie dostarczaniu wiadomości e-mail ze spamem do punktów końcowych.
  • blocklisting - zapobieganie łączeniu się punktów końcowych ze stronami internetowymi o złej reputacji poprzez natychmiastowe blokowanie połączeń na podstawie najnowszych informacji o reputacji.
  • zapobieganie utracie danych (DLP) - zapobieganie utracie lub kradzieży wrażliwych informacji.
6. Nowe architektury bezpieczeństwa dla sieci bez granic adresują wyzwania związane z bezpieczeństwem, zmuszając punkty końcowe do korzystania z elementów skanowania sieci. Te urządzenia zapewniają znacznie więcej warstw skanowania niż mógłby to zrobić pojedynczy punkt końcowy. Urządzenia do zapobiegania malware oparte na sieci są również zdolne do dzielenia się informacjami między sobą, aby podejmować lepiej poinformowane decyzje.

Ochrona punktów końcowych w sieci bez granic może być osiągnięta za pomocą technik opartych na sieci, jak również opartych na hostach:
  • nowoczesne firewall`e 
  • IDS, IPS
  • kontrola dostępu do danych (NAC - Network Access Control)
  • zabezpieczenie bramy sieciowej
  • zabezpieczenie urządzeń końcowych
7. Przykłady urządzeń i technik implementujących ochronę hostów na poziomie sieci:
  • Zaawansowana Ochrona przed Złośliwym Oprogramowaniem (AMP) - zapewnia ochronę punktów końcowych przed wirusami i złośliwym oprogramowaniem.
  • Urządzenie do Zabezpieczania Poczty Elektronicznej (ESA) - filtruje SPAM oraz potencjalnie złośliwe e-maile zanim dotrą do punktu końcowego. Przykładem może być Cisco ESA.
  • Urządzenie do Zabezpieczania Sieci Web (WSA) - filtruje i blokuje strony internetowe, aby zapobiec dostępowi hostów do niebezpiecznych lokalizacji w sieci. Cisco WSA kontroluje sposób, w jaki użytkownicy korzystają z Internetu, może egzekwować polityki dopuszczalnego użytkowania, kontrolować dostęp do określonych witryn i usług oraz skanować pod kątem złośliwego oprogramowania.
  • Kontrola Dostępu do Sieci (NAC) - pozwala na połączenie z siecią tylko autoryzowanym i zgodnym systemom.
8. Punkty końcowe są również podatne na kradzież danych. Rozwiązaniem jest lokalne szyfrowanie dysku twardego za pomocą silnego algorytmu szyfrowania, takiego jak szyfrowanie AES o długości 256 bitów. Szyfrowanie chroni poufne dane przed nieautoryzowanym dostępem. Zaszyfrowane woluminy dysków można montować tylko do normalnego dostępu do odczytu/zapisu za pomocą autoryzowanego hasła. W systemach Windows można użyć tzw. BitLocker, czyli funkcja szyfrowania całych woluminów korzystają z algorytmu AES w trybie łańcuchowania bloków szyfru (CBC), który nie jest sosowany na całym dysku, a do każdego sektora indywidualnie. Zapewnia on maksymalną ochronę, gdy jest używany z tzw. TPM (Trusted Platform Module), który jest komponentem sprzętowym instalowanym na urządzeniach Windows. 

9. Celem kontroli dostępu do sieci (NAC) jest umożliwienie dostępu do sieci tylko autoryzowanym i zgodnym systemom, zarówno zarządzanym, jak i niezarządzanym. NAC integruje technologie zabezpieczeń punktów końcowych z uwierzytelnianiem użytkowników lub urządzeń oraz egzekwowaniem polityki bezpieczeństwa sieci. System NAC może odmówić dostępu do sieci dla urządzeń niezgodnych, umieścić je w strefie kwarantanny lub udzielić im tylko ograniczonego dostępu do zasobów obliczeniowych, chroniąc w ten sposób sieć przed zainfekowaniem przez niezabezpieczone węzły.

Systemy NAC mogą posiadać następujące funkcje:

  • Profilowanie i widoczność - Pozwala na rozpoznanie i profilowanie użytkowników oraz ich urządzeń, zanim złośliwy kod zdąży wyrządzić szkody.
  • Dostęp do sieci dla gości - Zarządza gośćmi za pomocą dostosowywanego, samodzielnie obsługiwanego portalu, który obejmuje rejestrację gości, uwierzytelnianie gości, sponsoring gości i portal zarządzania gośćmi.
  • Sprawdzanie postawy bezpieczeństwa - Ocenia zgodność z polityką bezpieczeństwa według typu użytkownika, typu urządzenia i systemu operacyjnego.
  • Reagowanie na incydenty - Łagodzi zagrożenia sieciowe poprzez egzekwowanie polityk bezpieczeństwa, które blokują, izolują i naprawiają niezgodne maszyny bez konieczności interwencji administratora.
Systemy NAC powinny rozszerzyć NAC na wszystkie metody dostępu do sieci, w tym dostęp przez LAN, bramy dostępu zdalnego i punkty dostępu bezprzewodowego.

Cisco Identity Services Engine (ISE) łączy AAA i profilowanie urządzeń sieciowych w jeden system.

10. Celem systemów NAC jest zapewnienie, że do sieci mają dostęp tylko te hosty, które zostały uwierzytelnione i które przeszły pozytywnie kontrolę postawy bezpieczeństwa. Na przykład, firmowe laptopy używane poza siedzibą firmy przez pewien czas mogły nie otrzymać aktualnych aktualizacji bezpieczeństwa lub mogły zostać zainfekowane przez inne systemy. Te systemy nie mogą połączyć się z siecią, dopóki nie zostaną zbadane, zaktualizowane i zatwierdzone.

Urządzenia dostępowe do sieci mogą pełnić funkcję warstwy egzekwującej, jak pokazano na rysunku. Zmuszają one klientów do wysłania zapytania do serwera RADIUS w celu uwierzytelnienia i autoryzacji. Serwer RADIUS może wysyłać zapytania do innych urządzeń, takich jak serwer antywirusowy, i odpowiadać egzekutorom sieciowym.


11. Standard IEEE 802.1X definiuje protokół kontroli dostępu i uwierzytelniania oparty na portach, który ogranicza możliwość podłączenia nieautoryzowanych stacji roboczych do sieci LAN przez publicznie dostępne porty przełącznika. Serwer uwierzytelniający uwierzytelnia każdą stację roboczą, która jest podłączona do portu przełącznika, zanim udostępni jakiekolwiek usługi oferowane przez przełącznik lub sieć LAN.

W przypadku uwierzytelniania opartego na portach 802.1X, urządzenia w sieci pełnią określone role:




Role w 802.1x obejmują:
  • Suplikant (Klient) - Urządzenie (stacja robocza), które żąda dostępu do usług LAN i przełącznika, a następnie odpowiada na żądania przełącznika. Stacja robocza musi korzystać z oprogramowania klienta zgodnego z 802.1X. (Port, do którego podłączony jest klient, jest suplikantem [klientem] w specyfikacji IEEE 802.1X.)
  • Autentykator - To urządzenie kontroluje fizyczny dostęp do sieci na podstawie statusu uwierzytelnienia klienta. Przełącznik działa jako pośrednik (proxy) między klientem (suplikantem) a serwerem uwierzytelniającym, żądając informacji identyfikacyjnych od klienta, weryfikując te informacje z serwerem uwierzytelniającym i przekazując odpowiedź klientowi. Przełącznik korzysta z agenta oprogramowania RADIUS, który jest odpowiedzialny za enkapsulację i dekapsulację ramek EAP (Extensible Authentication Protocol) oraz interakcję z serwerem uwierzytelniającym.
  • Serwer uwierzytelniający - Ten serwer wykonuje faktyczne uwierzytelnianie klienta. Serwer uwierzytelniający weryfikuje tożsamość klienta i informuje przełącznik, czy klient jest uprawniony do dostępu do usług LAN i przełącznika. Ponieważ przełącznik działa jako proxy, usługa uwierzytelniania jest przezroczysta dla klienta. System bezpieczeństwa RADIUS z rozszerzeniami EAP jest jedynym obsługiwanym serwerem uwierzytelniającym.
12. Dopóki stacja robocza nie zostanie uwierzytelniona, kontrola dostępu 802.1X umożliwia tylko ruch protokołu Extensible Authentication Protocol over LAN (EAPOL), Cisco Discovery Protocol (CDP) i Spanning Tree Protocol (STP) przez port, do którego podłączona jest stacja robocza. Po pomyślnym uwierzytelnieniu, normalny ruch może przechodzić przez port.

Stan portu przełącznika określa, czy klientowi przyznano dostęp do sieci. Gdy port jest skonfigurowany do uwierzytelniania opartego na portach 802.1X, zaczyna on w stanie nieautoryzowanym. W tym stanie port uniemożliwia cały ruch przychodzący i wychodzący, z wyjątkiem pakietów protokołu 802.1X, STP i CDP. Gdy klient zostanie pomyślnie uwierzytelniony, port przechodzi do stanu autoryzowanego, umożliwiając normalny przepływ ruchu dla klienta. Jeśli przełącznik żąda tożsamości klienta (inicjacja autentykatora) i klient nie obsługuje 802.1X, port pozostaje w stanie nieautoryzowanym, a klientowi nie przyznaje się dostępu do sieci.

W przeciwieństwie do tego, gdy klient z włączonym 802.1X łączy się z portem i inicjuje proces uwierzytelniania (inicjacja suplikanta) poprzez wysłanie ramki EAPOL-start do przełącznika, który nie obsługuje protokołu 802.1X, nie otrzymuje odpowiedzi, a klient zaczyna wysyłać ramki, jakby port był w stanie autoryzowanym.

13. Enkapsulacja zachodzi w następujący sposób:
  • Między suplikantem a autentykatorem - dane EAP są enkapsulowane w ramkach EAPOL.
  • Między autentykatorem a serwerem uwierzytelniającym - dane EAP są enkapsulowane za pomocą RADIUS.

14. Jeśli klient jest pomyślnie uwierzytelniony (autentykator otrzymuje ramkę "akceptuj" od serwera uwierzytelniającego), stan portu zmienia się na autoryzowany i wszystkie ramki od uwierzytelnionego klienta są przekazywane przez port.

Jeśli uwierzytelnianie nie powiedzie się, port pozostaje w stanie nieautoryzowanym, jednak uwierzytelnianie można spróbować ponownie. Jeśli serwer uwierzytelniający jest niedostępny, przełącznik może wysłać żądanie ponownie. Jeśli serwer nie odpowie po określonej liczbie prób, uwierzytelnianie kończy się niepowodzeniem i dostęp do sieci nie jest przyznawany.

Kiedy klient wylogowuje się, wysyła wiadomość wylogowania EAPOL, co powoduje, że port przełącznika przechodzi do stanu nieautoryzowanego.

15. Może być konieczne skonfigurowanie portu przełącznika, aby zastąpić proces uwierzytelniania 802.1X. Robi się to za pomocą polecenia: authentication port-control. To polecenie konfiguruje indywidualny port na przełączniku uwierzytelniającym, w tym przypadku port F0/1 na S1. Domyślnie port jest w stanie force-authorized, co oznacza, że może wysyłać i odbierać ruch bez uwierzytelniania 802.1x.

Parametry:
  • auto - Włącza uwierzytelnianie oparte na porcie 802.1X i powoduje, że port zaczyna w stanie nieautoryzowanym. W tym czasie jedynymi ramkami, które mogą być wysyłane lub odbierane przez port, są ramki EAPOL, STP i CDP, dopóki urządzenie klienta nie zostanie uwierzytelnione.
  • force-authorized - Port wysyła i odbiera normalny ruch bez uwierzytelniania klienta opartego na 802.1x. Jest to ustawienie domyślne.
  • force-unauthorized - Powoduje, że port pozostaje w stanie nieautoryzowanym, ignorując wszystkie próby uwierzytelnienia przez klienta. Przełącznik nie może świadczyć usług uwierzytelniania klientowi przez port.
Jeśli klient jest pomyślnie uwierzytelniony (otrzymuje ramkę Accept od serwera uwierzytelniającego), stan portu zmienia się na autoryzowany, a wszystkie ramki od uwierzytelnionego klienta są przepuszczane przez port. Jeśli uwierzytelnianie nie powiedzie się, port pozostaje w stanie nieautoryzowanym, ale uwierzytelnianie można powtórzyć. Jeśli serwer uwierzytelniający nie może być osiągnięty, przełącznik może ponownie wysłać żądanie. Jeśli po określonej liczbie prób nie otrzyma odpowiedzi od serwera, uwierzytelnianie kończy się niepowodzeniem i dostęp do sieci nie jest przyznawany.

Gdy klient wylogowuje się, wysyła wiadomość EAPOL-logoff, co powoduje, że port przełącznika przechodzi do stanu nieautoryzowanego.

Jeśli stan łącza portu zmienia się z włączonego na wyłączony, lub jeśli otrzymano ramkę EAPOL-logoff, port wraca do stanu nieautoryzowanego.