Artiklar‎ > ‎

Hur du med enkla medel bygger en IT-miljö med mycket hög säkerhet

skickad 1 juni 2014 23:03 av Lennart Engvall   [ uppdaterad 1 juni 2014 23:13 ]
Av: Jonas Haglund
Företag och leverantörer har generellt sett blivit mer medvetna om de olika säkerhetsriskerna kopplat till IT. Det har i sin tur inneburit att både rena säkerhetsprodukter men även generella IT-produkter och –system har blivit mycket bättre och genomtänkta ur säkerhetssynpunkt. Många produkter håller idag en god nivå av säkerhet ”out of the box”.

Jag tror att alla som på något sätt jobbat tekniskt med IT har drömt om att få sätta upp en ny IT-miljö helt från scratch utan ”arv” att förhålla sig till, att sätta upp den ”optimala” miljön. I den här artikeln tänkte jag ta mig friheten att göra just detta. Hur bygger man en säker IT-miljö år 2014?

Jag brinner för enkelhet. Enkelhet innebär nästan alltid låga inköpskostnader, låga förvaltnings­kostnader, men kanske framförallt, god säkerhet. En miljö du inte helt förstår är mycket svår att skydda.

Jag har i huvudsak identifierat tre omständigheter som väsentligt medger hög säkerhet till ett lågt pris; (1) virtualisering som teknik har mognat, (2) säkerheten i trådlösa nätverk är idag i regel bättre än i trådbundna nätverk samt (3) större funktionellt omfång i moderna brandväggar.

Mitt exempel kommer i stor utsträckning att bygga på Microsofts produkter, av den enkla anledningen att jag är mest bekant med dessa. Det finns dock inget i den konceputella lösningen som kräver att produkter från Microsoft används.

I detta ”case” har jag i grova drag utgått från följande förutsättningar:

  • Hundralet användare

  • Höga säkerhetskrav

  • Trådlös infrastruktur

  • Lösningen ska kunna inrymmas i ett halvhöjds 19 tums serverrack.

  • Lösningen ska tillhandahålla ett grundläggande IT-stöd till användarna såsom kontorsprogramvara (motsvarande Office), samarbetsverktyg (motsvarande Sharepoint) fillagring, epost, kalanderhantering samt publik webbplats.

Självklart ska allt säkerhetsarbete utgå från en väl genomförd och förankrad hot- och riskanalys. Detta ligger dock utanför omfattningen av denna artikel. Här utgår vi från en mer generell hotbild och börjar med att titta på var miljön är exponerad (det indikerar indirekt var vi ska placera våra skyddsåtgärder). En typisk IT-miljö är exponerad för potentiella angripare på följande ställen:

  • Publika webbservrar (t.ex. webbplats och webbmail)

  • Klienter (i första hand när de befinner sig utanför kontoret

  • Trådlöst nätverk

  • Fysisk access

Med endast två fysiska servrar kan vi skapa en virtualiserad plattform med failover och som dessutom kan vara värd för åtminstone 10 virtuella servrar. Failover innebär att om en fysisk server går ned, migreras virtuella maskiner omdelbart över till den andra fysiska servern med bara sekunder av nedtid.

Eftersom vi nyttjar trådlöst nätverk för klienterna klarar vi oss med bara en enda fysisk switch. Med hjälp av VLAN (virtuella LAN) kan vi ändå hålla isär olika typer av trafik.

  • Klient-VLAN (nätverk för våra klienter)

  • Karantän-VLAN (nätverk för klienter som inte når upp till hälsokraven)

  • Server-VLAN (nätverk för våra interna servrar)

  • DMZ-VLAN (nätverk för våra publika servrar)

  • Admin-VLAN (nätverk för administration av infrastrukturen)

Fysiskt kommer nätverket att se ut enligt nedan.
Men, med hjälp av de olika VLAN:en kommer dock nätverket logiskt se ut enligt nedan. Texten på pilarna anger på övre raden vilken typ av trafik vi tillåter och på undre raden vilken typ av kontroller vi tillämpar på trafiken.


Även om det inte är tydligt från bilderna ovan kommer brandväggen ha en mycket central funktion för nätverkssäkerheten. Vi använder den inte bara för kontroll av trafik mellan systemet och Internet utan även för kontroll av trafik mellan VLAN:en: Det innebär alltså att brandväggen fungerar som en form av core-switch. På det sättet kan vi nyttja brandväggens i regel mycket sofistikerade kontroller även internt. Moderna brandväggar har idag funktionalitet för IDS/IPS, antivirusskanning av trafik och DLP. Vissa har även en inbyggd wireless controller.

Givet att brandväggen har en wireless controller använder vi den för administration av de trådlösa accesspunkterna (en wireless-controller ger också ofta större möjligheter till god säkerhet i det trådlösa nätet).

När det gäller trådlösa nätverk är det två aspekter man i första hand måste ta hänsyn till; autentisering och kryptering. Autentisering för att säkerställa att inga obehöriga användare tillåts kommunicera i nätverket och kryptering för att förhindra att någon avlyssnar trafiken.

Genom att sätta upp en egen PKI (t.ex. med hjälp av Active Directory Certificate Services, ADCS) i miljön som delar ut certifikat till både datorer och användare kan vi med hjälp av WPA2-enterprise, 802.1x, RADIUS och Microsoft NAP (Network Access Protection) få en mycket stark autentisering och kryptering. Detta sker dessutom helt transparant för användaren eftersom certifikatet på maskinen automatiskt presenteras till den trådlösa infrastrukturen av den inbyggda agenten i Windows.

Med Microsoft NAP kan vi dessutom kontrollera om anslutande klient uppfyller ställd hälsopolicy (t.ex. installerade säkerhetsuppdateringar, aktivt antivirusskydd, aktiv brandvägg etc.). Om klienten inte uppfyller policyn placeras den på karantännätet. Där kan klienten kommunicera med vissa utpekade servrar för att möjliggöra nedladdning av t.ex. säkerhetsuppdateringar och antivirusdefinitioner. Med Microsoft NAP kan man även tvinga t.ex. brandvägg och antivirusskyddet att starta på klienten.

Tidigare nämnda klientcertifikat används med fördel även för VPN. Med hjälp av MS Direct Access kan certifikaten användas för att automatiskt skapa en VPN-förbindelse med kontoret oavsett var i världen klienten befinner sig. Även detta sker helt automatiskt med hjälp av den inbyggda IPSec agenten i Windows. Observera att Direct Access kräver att du kör IPv6 internt i nätverket.

Att kunna kommunicera med ”kontoret” oavsett var i världen är självklart en mycket värdefull möjlighet för de som reser mycket i tjänsten. Men klienter ”på vift” är fortfarande en mycket stor risk eftersom de potentiellt kan innehålla stora mängder sekretessbelagd information. När informationen väl landat på klienten är det svårt för IT-avdelningen att skydda informationen från någon med fysisk åtkomst till klienten. Det skydd som finns att tillgå är hårddiskkryptering. Hårddiskkryptering tillsammans med TPM-chip (Trusted Platform Module) gör det nästintill omöjligt för även en avancerad angripare att få ut någon information ur datorn eller att använda den för att få åtkomst till ”kontoret”. Dock kan ingen idag känd hårddiskkrypteringsteknik skydda sig mot en avancerad angripare som får fysisk åtkomst till en klient vid två separata tillfällen. Observera även att hårddiskkryptering endast skyddar mot attacker som bygger på fysisk åtkomst. Hårddiskkryptering skyddar inte mot logiska attacker över nätverket/Internet mot klienten.

Åtkomst till administrationsgränssnitt (brandväggar, switcher, servrar etc.) är ofta en förbisedd, men av naturliga skäl, central del av säkerheten då sådana gränssnitt potentiellt medger en angripare att stänga av viktiga säkerhetsfunktioner. Genom upprättandet av ett särskild VLAN för administration kan alla administrationssgränssnitt samlas ihop på detta VLAN som logiskt sett är isolerat från nätverket i övrigt. På VLAN:et ansluts en särskild klient avsedd för administration (se bilden ovan). Administration av systemet bör inte kunna ske från ”vanliga” klienter.

I det här läget har vi nått en mycket god intern säkerhet i miljön. I nästa steg tittar vi på hur vi skyddar våra publicerade tjänster, t.ex. webbsida eller webmail. I första hand ska vi självklart se till att de tjänster vi publicerar har de senaste säkerhetsuppdateringarna och att servrarna de körs på är härdarde. Därefter använder vi med fördel de mekanismer brandväggen tillhandahåller. Självklart ska man utifrån (från Internet) bara ha tillgång till just den port tjänsten finns på. Därefter kan man på den trafiken tillämpa flera olika typer av kontroller, i första hand IDS/IPS men även antiviruskontroll.  

När miljön väl är korrekt uppsatt och konfigurerad är det viktigt att man inte lämnar säkerhetsarbetet där. Nästa steg är monitorering/övervakning av olika slag, till exempel övervakning av säkerhetsloggar (inklusive loggar från IDS/IPS).

Moderna brandväggar har ofta inbyggda vertkyg för sökning av sårbarheter som med fördel konfigureras att köras regelbundet mot den interna miljön. På så sätt kan nya sårbarheter snabbt uppmärksammas och åtgärdas. Avseende publika tjänster kan mer avancerade tjänster för att upptäcka sårbarheter köpas från kvalificerade leverantörer. Observera att denna typ av övervakning i regel kräver mycket specialiserad kompetens. Ett alternativ man bör överväga är att outsourca hela övervakningsdelen till specialiserade leverantörer.

En IT-miljö byggd och förvaltad enligt ovan tillhandahåller en mycket hög säkerhetsnivå som i allt väsentligt är helt transparant för användarna och kräver väldigt lite extra investeringar.

Comments