Centralne zarządzanie odległych instalacji zabezpieczeń na

Centralne zarządzanie odległych instalacji zabezpieczeń na

Centralne zarządzanie odległych instalacji zabezpieczeń
na przykładzie SofaWare Security Management Portal
Jak przy pomocy małej wielkości i tanich urządzeń szybko wdrożyć skuteczne instalacje
zabezpieczeń u wielu klientów: małych, średnich i korporacyjnych, sterując nimi zdalnie
i wkładając w ten proces niewiele wysiłku organizacyjnego i finansowego? Odpowiedź jest
prosta – zastosować do tego celu wielofunkcyjne urządzenia sieci i zabezpieczeń oraz wdrożyć
dla nich system centralnego zarządzania. W artykule opisane zostały techniczne zasady
funkcjonowania rozwiązania dedykowanego do takich zastosować, które dostarcza Check Point
Software Technologies.
Miniaturowego rozmiaru, wielozadaniowe urządzenia SofaWare S-Box łączą w sobie
funkcje sieciowe (router, switch 10/100 ETH, NAT, serwer/klient DHCP) oraz zaawansowane
funkcje zabezpieczeń (Firewall, VPN klient-sieć, VPN sieć-sieć, AntiVirus, URL Filtering).
Urządzenia S-Box zastosowane przez oddziały korporacji, małe firmy, tele-pracowników oraz
użytkowników indywidualnych, nawet w ilości wielu tysięcy mogą być centralnie zarządzane za
pomocą SofaWare Security Management Portal (SMP).
Można wyróżnić dwa podstawowe scenariusze wdrożenia SMP:
1. Usługi „hostingowe” dla operatorów telekomunikacyjnych, którzy chcieliby sprzedać
konfigurację i zarządzanie zdalnymi i prostymi Firewall-ami u klientów w małych oraz
średnich przedsiębiorstwach, oraz u odbiorców prywatnych.
Rys 1) Usługi „hostingowe” świadczone przez Dostawcę Usług Bezpieczeństwa
Centralne zarządzanie odległych instalacji zabezpieczeń
2. Dla korporacji, które chciałyby w łatwy sposób i przy minimalnych kosztach
zabezpieczyć odległe oddziały i tele-pracowników za pomocą małych urządzeń, które
łatwo integrują się z innymi produktami i instalacjami zabezpieczeń Check Point.
Rys 2) Centrum monitorowanie i zarządzania zabezpieczeń sieci korporacji, odległych oddziałów
oraz tele-pracowników
W czasach gdy struktury sieciowe rozwijają się lawinowo, przykład pracy SMP pokazuje
jak łatwo przy pomocy silnego oprogramowania i przeglądarki webowej można zarządzać
bezpieczeństwem sieci globalnej. Oprogramowanie SMP służy do zarządzania dziesiątkami,
setkami i większą ilością urządzeń typu S-box (SofaWare S-box, Intrusion PDS 500, Nokia IP30,
Celestix FV100, Flextronics Maxx-1, VPN Dynamics V4). Do podstawowych właściwości
urządzeń S-Box można zaliczyć:
1. Dostęp do sieci dla komputerów PC (m.in. automatyczna konfiguracja parametrów
sieciowych komputerów poprzez DHCP, translacja adresów NAT).
2. Ochrona komputerów przed zagrożeniami z Internetu (kontrola Firewall, blokowanie
ataków DoS).
3. Ochrona danych przesyłanych do innych sieci (VPN).
4. Ochrona zdalnego dostępu z obszaru Internetu (VPN typu klient-sieć).
5. Dodatkowe funkcje bezpieczeństwa (AntiVirus, URL Filtering).
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
Centralne zarządzanie odległych instalacji zabezpieczeń
Urządzenia SofaWare Safe@ dostępne są w trzech odmianach (licencjach):
−
Safe@Home - ochrona Firewall dla biurowych i domowych sieci przed atakami z
Internetu,
−
Safe@Home Pro – ochrona jak powyżej plus bezpieczne połączenie VPN dla małych
firm i domowych biur z placówką macierzystą (klient VPN-1 SecuRemote),
−
Safe@Office - właściwości jak powyżej plus możliwości VPN typu sieć-sieć.
Rys 3) Wielozadaniowe urządzenia SofaWare S-box
Technologia SofaWare oparta jest na architekturze rozproszonej, w której centralne
zarządzanie nieograniczonej liczby urządzeń zabezpieczeń S-Box odbywa się za pomocą
skalowalnej, odpornej na awarie macierzy Serwerów Sterujących (SofaWare Management
Server, SMS) oraz narzędzi służących do zarządzania i konfiguracji, takich jak Centrum
Zarządzania SofaWare (SofaWare Management Center, SMC).
Rys 4) Architektura SofaWare Management Portal
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
Centralne zarządzanie odległych instalacji zabezpieczeń
SMP łatwo integruje się z serwerem zarządzającym Check Point VPN-1/FireWall-1 w
wersji Next Generation (SmartCenter Server). Warunkiem instalowania na urządzeniach S-Box
polityk bezpieczeństwa za pomocą serwera zarządzającego Check Point jest doinstalowanie na
nim kompatybilności wstecznej z wersją 4.1 oraz specjalnego konektora SofaWare SmartCenter
Safe@ Connector, który umożliwia tworzenie profili obsługujących urządzenia S-box.
Naczelnymi właściwościami SMP jest ścisła integracja z dwoma rodzajami serwerów LDAP Microsoft Active Directory lub iPlanet. SMP jest konfigurowalny za pomocą przeglądarki
webowej, która łączy się bezpośrednio ze stronami generowanymi przez SofaWare
Management Center (SMC) za pośrednictwem serwera webowego Apache.
Rys 5) Schemat pracy SofaWare Management Center
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
Centralne zarządzanie odległych instalacji zabezpieczeń
W kategorii serwerów sterujących SMS można tworzyć grupy tych serwerów w podziale
na ich możliwości integracji z zewnętrznymi serwerami OPSEC, które zapewniają możliwość
filtrowania URL w ruchu HTTP oraz kontroli antywirusowej w ruchu SMTP i POP3. Integracja z
zewnętrznymi serwerami OPSEC następuje poprzez połączenie nie-uwierzytelnione lub
uwierzytelnione w zależności od wymagań konfiguracji bezpieczeństwa środowiska sieciowego.
Przykładowymi serwerami OPSEC współpracującymi z SMS są SuperScout Web Filter for
Check Point FireWall-1 firmy SurfControl (UFP), czy InterScan VirusWall firmy Trend Micro
(CVP). Jest to jednak realizowane inaczej jak w Check Point FireWall-1. Z serwerami UFP i CVP
bezpośrednio komunikują się wbudowane w SMS wewnętrznie moduły o nazwach CVM
(Content Vectoring Module) i UFM (URL Filtering Module).
Rys 6) Integracja SMS z zewnętrzną aplikacją OPSEC typu URL Filtering Server
Rys 7) Integracja SMS z zewnętrzną aplikacją OPSEC typu Antivirus Server
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
Centralne zarządzanie odległych instalacji zabezpieczeń
Poza wspomnianymi modułami UFM i CVM należącymi do SMS można konfigurować
pracę innych wbudowanych wewnętrznie modułów takich jak: Event Logging Module (ELM),
Load Balancing Module (LBM), czy Gateway Provisioning Module (GPM). ELM jest modułem
wysyłającym dzienniki zdarzeń (logi) do wyspecyfikowanych wcześniej miejsc przeznaczenia:
serwera Syslog, serwera ELA (Event Logging API), czy do Event Log systemu Windows. Moduł
LBM realizuje obsługę równoważenia obciążeń SMS. Jeżeli urządzenie S-Box wykryje, że któryś
z SMS nie odpowiada na zgłoszenia obsługi wówczas LBM przełącza go do działającego lub
mniej obciążonego serwera SMS. GPM dostarcza użytkownikom S-box infrastrukturę dystrybucji
plików konfiguracyjnych i uaktualnień oprogramowania.
Dla grup SMS można tworzyć Plany zawierające takie istotne elementy konfiguracji
urządzeń S-box jak polityki, interfejsy użytkownika oraz firmware. Plan jest bowiem zestawem
konfiguracyjnym, który narzuca ustawienia urządzenia S-Box. Polityka bezpieczeństwa
wczytywana jest z serwera zarządzającego Check Point w formie pliku *.tgz stworzonego przez
ten serwer po weryfikacji i kompilacji polityki za pomocą standardowych narzędzi
SmartDashboard. Można też stosować politykę typu „embedded”, co nie oznacza stosowania
konkretnej zewnętrznej skompilowanej polityki, tylko oznacza instalację filtrów pakietów,
skonfigurowanych lokalnie na urządzeniu końcowym typu S-box (z wyjątkiem narzuconych przez
plan kontroli zawartości czy kontroli antywirusowej poczty, co można ustawić niezależnie od
polityki bezpieczeństwa).
Bramka (Gateway) jest elementem konfiguracji, która reprezentuje w strukturze SMP
urządzenie końcowe typu S-box. SMS po konfiguracji bramki może wymuszać na wskazanym
urządzeniu S-box uaktualnienia konfiguracji i oprogramowania. Operację uaktualnienia może
również przeprowadzić administrator S-box uprzednio logując się w programie konfiguracyjnym
S-box i wykorzystując połączenie z SMS. Komunikacja pomiędzy SMS i S-box identyfikowana
jest adresem MAC lub przy pomocy wygenerowanego przez SMC klucza rejestracyjnego.
Bramka może wczytywać takie profilowe dane z planów jak nazwa grupy SMS, czas ważności
synchronizacji pomiędzy SMS i S-box, usługi takie jak uaktualnienia firmware, stosowanie
filtrowania zawartości URL, stosowanie ochrony antywirusowej poczty. Bramka może również
wczytywać bezpośrednio polityki bezpieczeństwa z serwera zarządzającego Check Point
(SmartCenter Server). Ważnym elementem licencjonowania S-box jest umieszczanie w danych
konfiguracyjnych bramki informacji zawierającej klucz produktu. Ta właściwość umożliwia
administratorom SMC zmianę licencji urządzeń S-box na odległość.
SMP stanowi bardzo silne narzędzie dla dostawców usług bezpieczeństwa i korporacji,
za pomocą którego mogą zarządzać z powodzeniem setkami lub nawet tysiącami odległych
urządzeń Firewall/VPN i instalować na nich wyrafinowane polityki bezpieczeństwa. Dodatkowe
informacje można uzyskać na stronie:
http://www.clico.pl/software/checkpoint/html/sofaware.html
! Piotr Misiowiec
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE