Védelem a végeken és a központban

forrás Prim Online, 2004. szeptember 22. 20:09
Miközben drasztikusan nő a számítógépek valamint a szélessávú elérések száma, és az elektronikus üzleti tranzakciók iránti igény radikálisan növekszik, újabb és újabb típusú támadási módok és eszközök jelennek meg, amelyek gyakorisága és terjedésük sebessége egyre riasztóbb.

Ebben a környezetben csakis dinamikus, valós időben reagáló, integrált megoldások jelenthetnek megfelelő biztonságot egy vállalat számára. Az S&T és a McAfee közös szakmai napján a kihívásokra adott aktuális válaszokról mutatott be egy csokorravalót.

Napjainkban rendkívül rövid idő telik el egy fenyegetettség ismertté válása és az azt kihasználó rosszindulatú kódok megjelenése között, így csak nagyon kevés idő áll rendelkezésre a megelőző intézkedések megtételére. A cél tehát olyan védelmi megoldások integrálása a vállalati IT-rendszerekbe, amelyek automatikusan, valós időben tudnak reagálni, és a már ismert támadási módok mellett képesek megállítani az adott pillanatban még friss, vagy akár még teljesen ismeretlen támadásokat is, mielőtt azok kárt okozhatnának - hangzott el az S&T biztonsági napján.

Az informatikai védelmi technológiák fejlődési íve a statikus, megelőző funkciót ellátó tűzfaltól a valós idejű érzékelést biztosító Intrusion Detection System, azaz IDS-en keresztül eljutott az IPS, azaz Intrusion Prevention Systemig. Az IPS több, mint az IDS, hiszen valós időben képes megakadályozni is a kártékony forgalmakat, így reaktív és egyszersmind preventív eszköz.

A McAfee IPS definíciója szerint az IPS az IDS kiterjesztése, tehát először is egy nagyon pontos, és megbízható érzékelő eszköz. Emellett az IPS alapkövetelménye a megbízható in-line működés, azaz hogy a forgalom átfolyjon az eszközön (méghozzá wire-speed sebességgel), és biztosítson csomag- és kapcsolatszintű blokkolási lehetőséget. Amíg az IDS pusztán detektív, és csak megfelelő külső támogatással (például a tűzfal szabályait dinamikusan módosítva) képes reaktív működésre, addig a fenti kitételeknek megfelelő IPS alapértelmezésben reaktív és preventív. Az in-line működési mód azonban rendelkezésre állási kockázatot jelenthet, valamint nem megfelelő konfiguráció esetén az automatikus reakció veszélyes is lehet. Ebből következően, nagyon fontos az ún. fail-open működés, azaz az IPS megoldásnak meghibásodás esetén is biztosítania kell a forgalmak további folyását, és megfelelően ellenállónak kell lennie a spoofing támadásokkal szemben is.

A betolakodások megakadályozása két ponton végezhető el: a hálózati rendszerbe integrálva, vagy magukon a védendő szervereken és munkaállomásokon (hosztokon). A hálózati megközelítés nagy előnye, hogy kritikus pontokon telepítve, viszonylag kevés IPS eszköz segítségével védhető a teljes hálózat. Ezzel szemben a hoszt-alapú megközelítésnél valamennyi védendő eszközön telepíteni kell az IPS megoldást, ami nem csekély adminisztrációs terhelés jelent, ráadásul az IPS komponens (ha minimálisan is, de) plusz terhelést, és üzemeltetési kockázatot jelent a hosztokon. Ugyanakkor viszont, a hálózati alapú IPS berendezés általában csak becsülni tudja egy aktuális támadás tényleges kihatását (pl. egy Microsoft webszerver-specifikus támadásnak nem lesz hatása egy Apache webszerveren, a hálózati alapú IPS viszont többnyire nem tudja, hogy a cél IP-címen milyen webszerver fut). Ezzel szemben a hoszt-alapú IPS magán a védendő eszközön futva több, pontosabb információ birtokában, többnyire jobb döntést tud hozni. Ennek eredményeként a hálózati alapú IDS/IPS eszközök általában több téves riasztást adnak ki, ami jelentősen megnehezítheti napi szintű adminisztrációjukat. Általánosságban: mindkét megoldásnak vannak előnyei és hátrányai is, így egy ideális rendszerben a két megközelítés egymást kiegészítve, együtt dolgozva, egy közös felületen keresztül menedzselve alkot integrált védelmi rendszert.

Az ilyenfajta integrált védelem McAfee termékekkel, az Entercept hoszt-alapú és az IntruShield hálózati IPS együttes alkalmazásával valósítható meg. Ennek során az IntruShield hálózati IPS a központi infrastruktúra "legsűrűbb" pontjain, a hálózat határain, illetve távoli telephelyeken, míg az Entercept Host IPS a kritikus szervereken (legyenek azok akár Windows, Solaris vagy HP-UX alapúak), illetve egy valóban teljes IDS/IPS rendszer esetén a munkaállomásokon és a laptopokon is biztosítja a védelmet.

Az Entercept hoszt-IPS lelke egy olyan speciális modul, amely valamennyi rendszerhívást összevet a központilag beállított szabályrendszerrel, ezáltal képes nagyon magas szintű alkalmazás-hozzáférés szabályozást megvalósítani. Az Entercept megoldás speciális verziói a mai elektronikus világban kockázatoknak leginkább kitett web- és adatbázisszerverek számára specifikus, megerősített védelmet is képesek nyújtani. Valamennyi Entercept verzió hálózati és alkalmazás védelmet egyaránt nyújt a hosztokon, viselkedésanalízis és mintaalapú érzékelés segítségével.

A legtöbb mai hálózati alapú IPS termék csak egyetlen szabálykészletet engedélyez hardverenként, amelynek az "eredménye" a mai bonyolult, VLAN technológiát is gyakran alkalmazó hálózatokon túl sok felesleges riasztás, és/vagy túl sok telepítendő szenzor. Ezzel szembe a McAfee IntruShield termékek alkalmazása esetén, az ún. virtuális IPS-ek segítségével egy hardver eszközön belül több, szegmensenként, vagy akár VLAN-onként különböző, egymástól független szabálykészlet is alkalmazható. Az eredmény: jobb konfigurálhatóság, kevesebb téves riasztás és alacsonyabb költség.

  • Az 1993-ban alapított S&T Csoport az egyetlen olyan termékfüggetlen cég az IT rendszerintegráció és e-business területén, melynek 20 országra kiterjedő földrajzi lefedettsége, helyi jelenléte van a kelet- és közép-európai régióban.

Az S&T Csoport központja a bécsi S&T AG, melyhez 19 leányvállalat kapcsolódik összesen 1200 alkalmazottal Ausztriában, Bosznia-Hercegovinában, Bulgáriában, Cipruson, Csehországban, Görögországban, Horvátországban, Lengyelországban, Litvániában, Macedóniában, Magyarországon, Máltán, Moldovában, Oroszországban, Romániában, Szerbia és Montenegróban, Szlovákiában, Szlovéniában, Törökországban és Ukrajnában.

Ezek az irodák látják el teljes körűen a helyi értékesítési, viszonteladói, marketing-, tervezési és szolgáltató tevékenységeket. A bécsi központnak általános felelőssége van a stratégiai tervezést, pénzügyi és humán erőforrás irányítást illetően.

Személyre szabott, ügyfél specifikus megoldásokat kínál, melyeket a világ vezető hardver- és szoftvergyártóinak - Aladdin, Cisco Systems, Check Point, Chrysalis, Datakey, McAfee, Entrust, EMC2, Hewlett Packard, Hitachi Data Systems, IBM, Legato, Microsoft, nChiper, Network Associates, Network Appliance, Oracle, RSA, SAP, SUN, StorageTek, Veritas - termékeire alapoznak.

Az értéknövelt szolgáltatások egész skáláját kínálja ügyfelei tevékenységi körét érintő területeken, úgy mint tanácsadás, képzés/oktatás, telepítés, karbantartás, garanciális és garanciaidőn túli szolgáltatások, projektmenedzsment, tréningek, szupport nyújtása.

Az S&T Csoport célja, hogy vitathatatlan első helyet szerezzen a rendszerintegráció területén a régióban.

Kulcsszavak: McAfee security

Biztonság ROVAT TOVÁBBI HÍREI

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01