Hackeléssel védeni a hálózatot

A NetClarity valószínűleg ismeretlen a legtöbbek számára, nem véletlenül. A céget csak 2003-ban alapította meg a Clinton és Bush adminisztráció alatt egyaránt kormányzati IT-biztonsági feladatokat ellátó Gary S. Miliefsky, és hivatalosan egyetlen NetClarity eszköz sem üzemel Magyarországon, hacsak nem egy regionális projekt részeként telepítettek és üzemeltetnek központilag ilyen eszközöket egy cég magyar telephelyén. Az első ilyen termékek csak másfél éve kerültek a világpiacra, így hatalmas üzemeltetési tapasztalat sem halmozódhatott fel.

A hálózati hozzáférés-vezérlés új megközelítése

A NetClarity terméke a NacWall, amely, ahogyan nevéből is sejteni lehet, egy hálózati hozzáférés-vezérlő eszköz, ellenben nem funkcionál tűzfalként vagy behatolásvédelmi vagy -detektáló eszközként, így ezeket nem váltja ki. A hagyományos megoldásokhoz képest újdonsága abban rejlik, hogy a hálózati hozzáféréseket TCP/IP hackelésen keresztül korlátozza, és nem igényel semmiféle komplex hálózati architektúrát, a berendezések cseréjét, a hálózati eszközök és felhasználó gépek részéről ügynököt vagy új protokollt.

A cég állítása szerint teljesen észrevétlenül és transzparens módon épül be a hálózatba, mindössze csatlakoztatni kell rá. A NacWall ezzel alapjaiban eltér a különféle szoftveres szintű (verzióellenőzések, aktív tűzfalak, aktív vírusvédelem) kikényszerítési politikákra, a RADIUS-ra vagy szimpla MAC-ellenőrzésre alapozó hozzáférésvezérlési megoldásoktól, mint amilyeneket például az Ethernet eszközök piacát vezető Cisco is kínál NAC Appliance néven. A NetClarity megoldása kísértetiesen hasonlít például a Mirage Networks NAC megoldására.

Az ITX formátumú beágyazott PC-re épülő, és Linux-alapú NacWall lényegében egy autonóm hálózati hackelő berendezés, amely a védeni kívánt hálózat gazdájának felügyelete alá tartozik. Az eszköz különféle TCP/IP csalásra épülő hálózati trükköket alkalmaz, köztük a handshake és DHCP spoofinggal, egy kvázi a csomagok eltérítésére épülő, beékelődő (man-in-the-middle, MITM) \"támadást\" valósítva meg a hálózat ellen. Ezzel lehetővé válik, hogy minden, a hálózatra felcsatlakozó eszköz hálózati kezdeményezése rajta keresztül fusson végig, transzparens módon, mivel elhiteti az összes felcsatlakozó hálózati eszközzel, hogy switchként és DHCP szerverként is funkcionál. Ehhez a NacWallnak nem kell semmilyen kitüntetett helyen lennie a hálózaton, a szélén is felcsatlakozhat.

A különbség egy valódi támadással szemben az, hogy ezúttal egy jóindulatú, legitim hálózati hackelésről van szó, ahol a támadó eszköz a mi irányításunk alá esik. Ennek megfelelően az engedélyezett, fehér listán lévő hálózati gépeket ezt követően továbbadja a valódi switch és DHCP szerver felé, és a tényleges forgalom már nem rajta keresztül zajlik. Amennyiben nem engedélyezett felhasználót érzékel, úgy megakadályozza, hogy végbemenjen a handshake, vagyis megtagadja a TCP/IP szintű kapcsolódás létrejöttét.

Ezzel elméletileg a vélt támadónak legfeljebb egy fizikai kapcsolódása van a hálózatra, de képtelen forgalmazni rajta, mivel az adatátviteli rétegben nem tud linket felépíteni - ez különösen előnyös lehet a WLAN-hálózatok esetében, amely szükségszerűen támadási felület ad a bűnözők számára. A technika egyik előnye, hogy működik előre beállított statikus IP-vel is, nem kell a hálózaton kötelezővé tenni a DHCP-t, amely egyébként is támadható kombinált DoS/hamis DHCP közzététel, vagy ARP-alapú technikákkal.

A Mirage megoldása ARP-manipulációt végez a letiltani kívánt gépeken, és az összes hálózati IP-címhez a saját MAC-címét rendeli a nem kívánatos gép táblájában, így elfojtja annak kommunikációját. A NetClarity szerint azonban a Mirage megoldása nem véd a MAC hamisítása ellen.

Kockázati pontok

A NacWall sarkalatos pontja természetesen a hálózatra felcsatlakozni kívánó gépek azonosítása. A készülék komplex azonosítást alkalmaz, amely nem játszható ki egyszerű MAC-hamisítási technikákkal, mondta el a HWSW kérdésére Csizmadia Ferenc, a termékeket Magyarországon forgalmazó Nethorizon technológiai vezetője. A Dynamic Detection System több adatot vetít egymásra, és veti össze azt a legitim, korábban már feltérképezett gép regisztrált jellemzőivel, köztük a hálózati vezérlő (NIC) típusának meghatározásával - hogy ne lehessen például egy nyomtató MAC-jével fellépni a hálózatra egy notebookkal.

Mindig kétséges persze, és kétségesnek is kell lennie, hogy ez az analízis mennyire megbízható, ugyanis ezen áll vagy bukik az egész rendszer védelme. A NacWallban nem engedélyezett hálózati gépek egyébként \"kilökődnek\" a hálózatról, ha élesedik az eszköz. Egy másik triviális támadási felület az NacWall távoli menedzsment felülete, valamint a bejelentkezésre jogosult adminisztrátorok belépési adatainak megszerzése, és egy támadó gép hozzáadása a fehér listához.

Egy újabb biztonsági kockázat lehet, hogy a NacWall időről időre frissíti a CVE adatbázist, valamint saját magát, azonban mindez kizárólag HTTPS-alapú kérésen megy keresztül, és a szoftvercsomagok kulcsos azonosítással rendelkeznek, így a DNS-alapú eltérítések legfeljebb megakadályozzák az eszköz frissülését, rosszindulatú kódot nem tudnak a rendszerbe injektálni, közölte Csizmadia. Nem tűnik triviálisnak azonban, mi történik akkor, ha a támadó szabványos felcsatlakozás helyett a NacWall által alkalmazott technikákkal próbálja kilökni azt a hálózatról (flood), és magát hubként azonosítani a többi gép és hálózati eszköz előtt.

Pénzügyi előnyök

A hálózati hozzáférések ilyen alacsony szintű, külön protokollok ismeretét vagy ügynökprogramokat nem igénylő központi vezérlésével jelentősen leegyszerűsödik a hozzáférésvezérlés architektúrája (lényegében a hálózaton bárhova beilleszthetjük), bevezetése és üzemeltetése, amivel rengeteget lehet spórolni például a 802.1x/RADIUS megoldásokkal szemben, állította Csizmadia. Hozzátette, hogy a NacWall nem igényel semmiféle hálózati fejlesztést, nem szükséges új switcheket, routereket vagy hozzáférési pontokat vásárolni hozzá, a legprimitívebb, SOHO-kategóriájú eszközöktől kezdve a nagyvállalati berendezésekig mindennel kompatibilis, mivel kizárólag a TCP/IP szintjén működik. Ezzel együtt érdemes lehet bevezetni a 802.1x mellé is, mivel kiegészítő védelmet biztosít.

A NacWall egy másik jelentős képessége a hálózati sebezhetőségek szkennelése a CVE adatbázis alapján. A CVE, avagy a Common Vulnerabilities and Exposures az amerikai kormányzat által naponta frissített központ lista az ismert számítógépes sebezhetőségekről. A NacWall a hálózati szkenneléssel kinyert verzióinformációk alapján képes megállapítani, hogy a hálózati gép ki van-e téve a sérülékenységnek, avagy nincs. Mindezt képes törvényileg előírt audit formájában is prezentálni. Csizmadia szerint ez hatalmas megtakarítási lehetőség a hatósági megfelelés alá eső vagy szigorú belső politikákkal rendelkező cégek számára, ugyanis rengeteget foghatnak meg a biztonsági auditokon.

A CVE-szkennelés ráadásul lehetővé teszi az IT-biztonsági vezetők számára, hogy ellenőrizzék a rendszergazdák tevékenységét, elvégezték-e a szükséges módosításokat - a szkennelés Csizmadia ígérete szerint nem fog DoS-támadásként megjelenni a többi gép számára, csendben lefut a háttérben. Bár korábban említettük, hogy a Nacwall alapvetően nem a patchelés kikényszerítésére alapozza a hálózat védelmét, ugyanakkor a CVE szken eredménye alapján képes blokkolni egyes gépeket.

Mivel a NacWallt magas biztonsági szintet igénylő területekre, a Cisco és más riválisok megoldásaira való alternatívaként kínálja a NetClarity, ezért ennek megfelelően alakul az árazása is, vagyis a legtöbb KKV fájdalomküszöbén kétségtelenül túlmegy. Az árazás IP-cím alapú licencelésen alapul, ami az egyszeri díjon felül éves támogatási és előfizetési díjat is magával hoz. Egy 20 IP-s, belépőkategóriás NacWall berendezés egyszeri licencdíja 1500 dollár, erre még 300 dollár díj épül rá a támogatásért, ami 1 évet fedez - ezt követően minden további év támogatás újabb 300 év. A 2 alhálózaton megoszló 512 darab hálózati gépet kezelő NacWall Branch Pro 4800 dolláros listárral bír, és évente 960 dollárt kell még fizetni a működésért, míg az Enterprise változat 6 alhálózatért 19 ezer dollárt, és évente 3800 dollárt kér. Egyelőre egy hazai bankról tudni, hogy vizsgálja a NacWall alkalmazását a hálózati hozzáférések szigorúbb korlátozására.