Hálózatbiztonság: nincs tökéletes védelem!

Höltzl Péter vagyok, a BalaBit IT Security IT biztonsági tanácsadója. Tetemes Zorp és syslog-ng gyakolattal, több év rendszer-mérnökösködést követően az oktatása váltottam. Ma már az időm nagyobbik részét az oktatások teszik ki.  Az élet úgy hozta, hogy hálózati biztonság témakörben fogok időről-időre megjelenni itt a PC WORLD üzlet hasábjain. Ennek kapcsán gondolkodtam el azon, hogy mit is jelentett régen ez a fogalom, hogyan alakult ki a jelenlegi állapot és vajon merre tart ez az iparág.

Mindenekelőtt szeretném definiálni azt, hogy mit is jelent ez a fogalom. Remélem, a hálózat nem szorul magyarázatra, a biztonság annál inkább. Régi mondás, hogy a biztonság nem termék, nem lehet a boltban megvenni. Ez tökéletesen igaz, mivel a biztonság egy állapot! Amikor a hálózatunk biztonságban van, akkor elmondhatjuk, hogy nincsenek jelen fenyegetések, ugyanakkor nem zárhatjuk ki, hogy ez nem változik meg a jövőben. Azért, hogy ez így is maradjon, tennünk kell! Ezt a folyamatot általában biztonság menedzsmentnek hívják. Az is öreg igazság, hogy tökéletes biztonság nincs, valamennyi maradék kockázatunk mindig marad.

Mennyi kockázatot vállaljunk?
Megkockáztatom nem is akarjuk, hogy a rendszer 100%-os biztonságban legyen. Egyrészt mert úgysem érhetjük el, másrészről meg annyiba kerülne, hogy azon az áron akár a teljes rendszerünket újra felépíthetnénk! Ezt a szakemberek az arányosság elveként említik. Tehát nem az a fontos, hogy a rendszerünk az elérhető legtökéletesebb védelmet kapja, bőven elég, ha egyszerűen "megéri", azt viszont, ha lehet mindenhol. Ezt hívják egyenszilárdságnak, vagyis a rendszer minden elemét arányosan és egyformán védjük (a láncszemek így egyformán erősek lesznek).

Nézzük most meg ezt a biztonságos állapotot még egyszer! Rendszerünk egészen biztosan nem tökéletes, mivel a fejlesztői biztosan nem a tökéletes rendszer felépítésére törekedtek (szerették volna időben átadni;-), tehát biztosan lesznek benne kisebb-nagyobb hibák. Ezt a szakemberek sérülékenységnek nevezik. Ez önmagában még nem jelenti azt, hogy konkrét fenyegetést jelent számunkra. A sérülékenység akkor válik tehát konkrét fenyegetettséggé, amikor valaki rájön a hiba létezésére és közli is ezt a nagyvilággal. Ne higgyük azt, hogy a hiba létezéséről korábban nem tudtak, egyszerűen csak nem akarták hamarabb nyilvánosságra hozni. Az ilyen hibákat 0-day sérülékenységnek hívják a szaknyelvben és bizony nagyon fontos kapukat nyithat ki, ha valakinek van ilyen a tarsolyában.

A hibák felismerése, nem feltételezi a rendszer ismeretét
Többen próbálkoznak azzal, hogy egyszerűen nem árulják el, hogy a rendszerük hogy működik és bíznak abban, hogy senki nem jön rá, hol rejlenek a hibák. Az élet mást igazol. Attól, mert nem tudjuk, hogy valami egészen pontosan hogyan működik, attól még találhatunk benne hibákat és ki is használhatjuk azokat! Az igazán tökéletes rendszer vagy védelem olyan, hogy akkor sem lehet áthatolni rajta, ha pontosan tudjuk, hogy működik! Hibák pedig mindig lesznek. Amennyiben ilyesmi történik, remélhetőleg a rendszer készítője befoltozza a hibát. Igyekezzünk csak az adott hibát javító verziót telepíteni, egy-egy újabb verziójú alkalmazást, ugyanis egyrészt ezek általában nem teljesen ugyanúgy működnek (ami kockázat), másrészt az új verzió minden esetben új hibákat is rejt magában!

Tehát a hibát valaki felfedezi, majd közzé teszi az eset leírásával, majd a gyártó kijavítja a hibát, amit mindannyian telepítünk. Ideális esetben. Hozzá kell ugyanis tenni, hogy egészen gyakran történik meg, hogy a sérülékenység felfedezése után egyesek a hibát kihasználó vírust vagy férget fabrikálnak bízva abban, hogy nem mindenki frissíti a rendszerét azonnal. És hányszor be is jön nekik!

Hálózatbiztonság, az vajon mi?
Kérdés már csak az, hogy a két szó így egyben mit jelent: hálózat biztonság. Mostanában a kávéfőzésen kívül nagyjából mindenhez számítógépeket használunk. Ha lehet ezeket még össze is kötjük! A telefon többé már nem csak telefon, de internet használatra is alkalmas eszköz. A tévé sem az a régi passzív eszköz, mint régen. És így tovább, ha tetszik, ha nem mostanában tényleg minden mindennel összekötünk.

Ennek, az emberiség történetének legkiterjedtebb rendszerének a biztonsága azt jelenti, hogy amennyiben lehet, a használata minél kevesebb kockázattal járjon. Ez persze sok mindent jelent. Jelenti azt, hogy az adatainkat ne szerezze meg az, akinek ahhoz semmi köze (például, hogy a népszerű tablet-ből vásároltunk a napokban) vagy hogy ne lopják el a pénzünket egy banki rendszer feltörésével vagy akár a hozzáféréshez szükséges információk megkaparintásával. Ami innen nézve az egyén szintje (akár az én személyes megtakarított pénzem), ugyanaz a bank oldaláról jövedelmező vállalkozás, szervezet, ami profitot termel és természetesen százak és ezrek munkahelye, jövedelme. Sőt az állam szemszögéből adó befizető. Ez mind-mind nagyban függ az informatikai rendszerektől!

És ha már itt tartunk, ez a gigantikus rendszer, ami véleményem szerint a modern világ ugyan olyan fontos infrastrukturális elemévé vált, mint akár a víz a villany vagy a csatorna, fontos terepe az állami gépezet működésének. Remélem csak az áldásaival: gyorsabb ügyintézés, kevesebb bürokrácia, de több demokrácia. Igen demokrácia. Gondoljunk csak a fórumok és blogok adta határtalan lehetőségekre. Ebből is látszik, hogy milyen fontos ennek a hatalmas rendszernek a működése, ha tetszik üzembiztonsága. Az hogy számítani lehessen rá. Az én olvasatomban ez azt jelenti, hogy amikor használni szeretném ezt a rendszert, bízhassak abban, hogy rendelkezésre fog állni, az adataimhoz nem fér hozzá az, akit én nem akarok, valamint tényleg az (és csakis az) történik, amit cselekedni szeretnék.

A hálózat biztonsága több területen és szinten is értelmezhető. Értelmezhető az infrastruktúra szintjén: kábelek, aktív eszközök, protokollok szintjén: ezek a routerek, adat átviteli eszközök, de maga a TCP/IP hálózat is. Garantálhatják ezt megfelelő szoftverek és a működtetést szabályozó-felügyelő eszközök: Ezek a tűzfalak, IDS-ek és IPS-ek. A tűzfalak tartatják be a szabályokat, míg az IDS rendszerek érzékelik a rossz szándékú aktivitást, addig az IPS-ek nem csak felismerik, de meg is akadályozzák azt. Végül a hálózatra csatlakozó eszközök (kliensek és szerverek, alkalmazások) szintjén is gondolni kell rá: minél kevesebb hibával működő alkalmazások, vírus és egyéb kártevő-mentes rendszerek.

Mit hoz a jövő? Azt majd meglátjuk. Azt biztosan tudom, hogy a megoldások sokkal nem lesznek jobbak, hiszen láttuk, hogy egészen egyszerűen nem éri meg sokkal jobbá tenni. Az is valószínű, hogy "security szakma" a megjelenő újabb és újabb kihívásokra ad majd válaszokat, néha tényleg új megoldásokkal. Sajnos a lehető legritkább esetben történik ez meg előre. Valahogy állandóan csak reagálunk és szerintem ebben sem várhatóak nagyobb változások, pedig ebben kellene végre előre mozdulni.

Höltzl Péter

IT biztonsági tanácsadó - BalaBit IT Security