A practical approach to manage data communication security Av Peter Ehrling Samir Kanbar abstrakt: uppsatsen behandlar ett praktiskt tillvägagångssätt för hantering av datakommunikations infrastruktur. ”Angreppssättet är baserad på uppdelningen av nätverket i segment och en beskrivning av relationerna mellan segmenten. Det resulterar i en klarare syn på säkerheten i alla datakommunikationsvägar(path) i små som stora nätverk”, skriver författarna P.H Samwel och M.E.Spruit från Holland. För att illustrera detta så använder författarna sig av exempel som är baserade på en implementation av angreppssättet hos en holländsk bank, Robobank. Vi försöker vi komma med ytterligare exempel och förklaringar på begrepp som inte är självklara för läsarna. Historia Klassifikationssystemet är från början designad för att skydda hemligheten av viss utrikes policy, millitär- och underrättelseinformation i Förenta staterna. Den behandlar bara en liten del av regeringsinformation som behöver skyddas. Trots den stora uppmärksamheten så har klassifikationssystemet till stort del inte förändrats sedan Eisenhowers administration. Men till sist ansåg den amerikanska regeringen att behovet av en klassifikationssystem för att åstadkomma både klassifikation och säkerhet krävdes för att säkra informationsflöde i ett nätverk där millioner användare har tillgång till. Inledning Nätverkets infrastruktur är en av viktigaste komponenterna i en datorapplikations säkerhet. Datakommunikationens väg mellan användarna och applikationen, så som datakommunikationen mellan applikationskomponenterna, är relevanta för integritet, konfidentialitet och tillgänglighet av applikationerna. På grund av nätverkets komplexitet, har inte applikationsägarna en klar bild av säkerheten som är karakteristisk för datakommunikationsvägar som är relevanta för applikationer. Datainfrastruktursansvariga har ofta inte koll på informationen som går genom nätverket, det vill säga att all information har samma värdering och rankning. Men i verkligheten har varje kategori av information sitt värde och bör mätas och skyddas med tanke på konfidentialitetsnivå, tillgänglighet och integritet. I traditionell riskanalys krävs det information om relationen mellan affärsprocessen och informationssystemet å ena sidan och mellan informationssystemet och underliggande objekt å andra sidan. Det betyder att varje informationssystem kräver det skyddet som är kompatibelt med affärsverksamhetens behov eftersom riskanalys drar med sig en hel del resurser i form av tid och pengar. För komplexa nätverk implementeras ett säkerhetsmått som är viktigt för att uppfylla ett visst bas krav(t.ex. BS 7799). Detta säkerhetsmått fungerar om alla parter i ett nätverk uppfyller baslinjer för denna standard. Vissa applikationer behöver ytterligare säkerhetsmått och andra kan sortera bort en del av krav som anges beroende på applikationens användningsområde. Organisationerna kan implementera strukturer med gap eller implementera säkerhetsmått som är onödiga för just deras organisation. Därför kan säkerhetsstrukturerna vara otillräckligt säkra och onödigt dyra. Som lösning till problemen ovan föreslås en utvärdering av det säkerhetsmått som är implementerade i infrastrukturen och klassificering av olika delar i nätverket. Genom att relatera säkerhetsklassifikationen av den relevanta delen i nätverket till säkerhetsklassifikationen av applikationen, kan man fylla i den missade länken mellan säkerhetsbehovet av applikationer och affärsprocesser å ena sidan och säkerhetsmåtten i infrastrukturen å andra sidan. Klassifikationsnivåer För att identifiera om en viss data kommunikationsväg i en nätverksinfrastruktur lever upp till säkerhetskrav för en specifik applikation så måste man hitta den delen av infrastrukturen som används av applikationer. Relationen kan vara säker bara om relationen är identifierad och då kan man fastställa om säkerhetsmåtten av infrastruktur täcker alla säkerhetskrav på ett effektivt sätt. Relationen mellan applikationerna och delarna i infrastrukturen kan generellt ej göras på en till en basis. Detta på grund av att olika applikationer använder olika delar av infrastrukturen. Man hittar likheter mellan nätverkssegmentering och informationssystemen för en militär säkerhetspolicy där informationen rankas beroende på känslighetsnivån, som konfidentiellt, hemlig, mycket hemlig osv. I den kommersiella världen är den mindre rigorös och mindre hierarkisk strukturerad. Men fortfarande hittar vi samma koncept, t.ex. ett universitet kan delas i divisioner eller departement där dataposter kan ha olika grad av känslighet som publika, hemliga eller interna. Användarna som använder de olika dataposterna är klassificerade och har olika privilegier för åtkomst av data. I nätverksinfrastrukturen kan segmentering användas för att göra relationen mellan applikationerna och infrastrukturen hanterbara. För att nå detta, delas nätverket i delar som kan å ena sidan erbjuder en säkerhetsnivå som behåller kvalitet på konfidentialitet, integritet och tillgänglighet och å andra sidan ligger den inom ansvarsområdet för endast en organisationsenhet. I ”ECC91” beskrivs en standard för säkerhetsklassifikation av datorsystem. I denna standard som mest är avsedd för IT säkerhet rekommenderas fördefinierade klasser. Sådana fördefinierade klasser som har gemensamma funktioner kan användas som grunden för individuella system. Rättare sagt kan den användas som en guideline för att vägleda användarna för att välja ett lämpligt säkerhet fukttonalitet för att möta specifika säkerhets mål. För att uppnå detta mål så måste fördefinierade funktonalitetsklasser existera. På samma sätt kan klassifikationen av segment i nätverksinfrastrukturen göras. Författarna av rapporten fokuserar på relationen mellan olika segment i nätverksinfrastrukturen inom en organisation till applikationerna som används inom samma organisation. Fokus är mest på informationssäkerhetsinfrastrukturen som är specifik för en organisation. Informationssäkerhetsklassifikationen kan å ena sidan användas av applikationer och affärsprocessers innehavare för att beskriva deras behov. Å andra sidan måste klassifikationen användas med respekt till nätverksinfrastrukturen. Det kan göras genom att relatera informationssäkerhetsklassifikationen till det generiska datakommunikationsmålen som unikt korresponderar till säkerhetsmåtten i en annan och olikt segment av infrastrukturen. Klassifikationen måste alltså vara begripligt av nätverksinfrastrukturens ägare som ger dem begriplig beskrivning av vilka mått som skall implementeras för att nå en specifik klassifikationsnivå För att klargöra använder författarna en enkel säkerhetsklassifikation som består av tre nivåer av säkerhet som numreras från 1 till 3 för de tre kvalitetsaspekterna konfidentialitet, tillänglighet, och integritet som kan vara låga, normal, höga. Detta resulterar i tre siffror(AIC) som definierar säkerhetskraven för IT komponenterna, inkluderad implementering av säkerhet måtten. Exempel: Säkerhetskraven för en applikation med: hög tillgänglighet, medium integritet och låg konfidentialitet resulterar i : AIC=321 Implementerade säkerhetsmåtten på en viss plattform: låg tillgänglighet, medium integritet och medium konfidentialitet resulterar i: AIC=322. På samma sätt kan den nödvändiga säkerhetskaraktären av nätverksinfrastrukturens segment kan bli definierad. I rapporten finns en tabell(originalet bifogas) som är ett exempel på säkerhetsklassifikationen, vilken visar relationen mellan ovan nämnda informationssäkerhetsnivåerna och nätverksinfrastrukturssäkerhetsmåtten. Ett nätverksdiagram För att förklara vad menas med nätverk med segment och länkar emellan ritar författarna ett graf för att illustrera detta. Varje segment i nätverket bildar en säkerhetsnivå med respekt till kvalitetsaspekterna som vi nämnde ovan(confidetiality,integriy och availability) och inom ramen av ansvar för en organisationsenhet. I diagrammet visas linjen (path) för data som vandrar mellan olika slutanvändare och centralapplikationen. Säkerhetsmåtten i segmenten av linjen är relevanta för den interna linjen. Säkerhetsnivån i den interna linjen ska inte överstiga säkerhetsnivån av varje segment. QB QA HK RK Central IP AB BK RL E ZL UHC ZD US B Exempel på ett nätverksdiagram Klassificering av segment För varje nätverksegment måste den specifika säkerhetsbehoven utvärderas. Baserad på vilken AIC klassifikation är tilldelat segmenten. Dt kan göras genom att matcha de implementerade måtten till säkerhetsklassifikationsmåtten. För att identifiera måtten, så måste den karaktäriska säkerheten av de tekniska komponenterna i infrastrukturen klargöras. Externa informationsresurser som(TELE97) kan vara användbara för att analysera och jämföra säkerheten i olika typer av datakommunikationsteknologier. För illustrera klassifikationen av nätverksegmenten, AIC värde för två segment från diagrammet (central IP and HK) är bestämda. Central IP segmenten innehåller inte någon slutanvändare. Infrastrukturen består av switched network(ATM och switched Ethernet) i fysiskt säker plats. Infrastrukturen innehåller inte kryptering. Så länge tjuvlysningen eller ändring av dataflöde är omöjligt utan fysiskt våld den resulterar i nivå 2 värde för både integritet och konfidentialitet. Central IP infrastrukturen är implementerad genom användning av duplicerade infrastruktur som eliminerar varje enskilt fel. Alltså tillgängligheten för nivå 3 är implementerad. Central IP segment klassifikation: AIC=322. Hk segmenten i alla fall innehåller ett enkelt punkt av fel. Icke desto mindre den kontraktmässigt ordnandet med den extern ansvariga parten garanterar nivå 2 tillgänglighet. Infrastrukturen innehåller delad Ethernet vilket är känslig för tjuvlysning. Integritet och kofidentialitet bara tilldelas nivå 1. HK segmentklassifikationen: AIC=211. För varje segment klassifikationsnivå borde utföras. Korrektheten av klassifikationen testas av en granskare(auditor) som utför en regelbunden datakommunikationsgranskning. Kom ihåg att klassifikationsnivån för tillgänglighet kan icke ökas genom användning av applikationsmåtten. Alltså resultatsvärdet motsvarar den maximala uppnåbara utan ändring i infrastrukturen. Medan klassifikationsnivån för integritet och konfidentialitet kan ökas genom att implementera kryptering teknik i applikationen. Konstruktionen av en matris Det ultimata målet med segmenterinsprocessen är att erbjuda an klar bild av säkerhetskaraktären av en datakommunikationslinje mellan slut användarna och applikationssystemen. Bilden kan visualiseras genom en matris. Säkerhetsklassifikationen för alla segment kan kombineras i en matris baserad på nätverks diagrammet. Matrisen ger en klar bild av säkerhet karaktärer en viss datakommunikationslinje. Alltså en matris kan användas för att identifiera lätt säkerhetskaraktärer av en linje mellan slutanvändare och applikationsserver. Från matrisen på nästa sida kan vi läsa att applikationen ZL och användaren HK har maximal nåbara tillgänglighet AIC värde på 211. Ytterligare kan vi se att nätverk tillänglighet för applikationen ZD med användaren på QB är begränsad till nivå 2 trots att både ZD och QB har tillgänglighetsnivå av 3.Den orsakas av den mellanliggande segment AQ som har tillänglighetsnivå av 2. 211 211 222 222 222 222 222 222 211 211 211 211 211 211 211 211 311 211 211 322 322 322 322 322 322 311 322 211 211 322 322 322 322 322 322 311 322 322 211 211 322 322 322 322 322 322 311 322 322 322 211 211 322 322 322 322 322 322 311 322 322 322 322 UHC 211 211 322 322 322 322 322 B US 211 211 322 322 322 322 E RL 211 211 322 322 322 QB 211 211 322 322 QA 211 211 322 ZD RT 211 211 ZL AB 211 Central IP BK HK BK AB RT Central IP ZL ZD QA QB RL US E B UHC HK Speciellt i nätverksinfrastruktur som innehåller många fler än exemplet nedan, sådan matris kan erbjuda unik klarhet i säkerhet av infrastrukturen. 211 211 311 311 311 311 311 311 311 311 311 311 311 311 Exempel på en matris exempel på säkerhets domäner(segment) nedan följer ett antal säkerhets domäner som kräver olika nivåer av skydd. tänk dig en liten organisation som har några datorsystem. Systemen används för att genomdriva företagets affärsverksamhet och lagra kundernas kontouppgifter, tillgång till de senaste aktiekurserna, försörja datorsupport för ett litet utvecklingsteam, och husa(housing) en publik webbplats för klienternas access. Denna organisation som finns illustrerad med en bild kan skydda en del av datorsystemen genom placera dem bakom en kommersiellt installerad brandvägg. Om webbsystemet är placerade bakom brandväggen, så måste trafiken från den allmänna nätverket vara tillåtet genom brandväggen till systemet. Det skapar en dörr för attack från illasinnade. Om webbsystemet delar hårddiskutrymme med ett annat system (säg utvecklingssystemet) via NFS, då hamnar de här två maskinerna på samma säkerhetsnivå. Om utvecklingsteamet använder NIS för att distribuera lösenord, så har varje system i NIS domän samma säkerhetsnivå. Om X Windows system används inom organisationen, då kan systemen grupperas till en säkerhet domän som förefaller en potentiell väg för obehöriga för att flytta sig fritt mellan systemen genom användningen av denna tjänst. Om ett speciellt skydd är implementerad för att skydda ett litet antal system i organisationen från att få tillgång till den globala nätverket, då har den här gruppen ett speciell säkerhets krav som avser bara dem. Analysen kan fortsätta, men vad som borde klargöras här är att olika system har olika säkerhetskrav. Vissa system har av helt naturlig roll, de tjänster som de utför, protokollerna de använder, eller restriktioner som begränsar dem har en viss nivå av säkerhetskrav. I exemplet ovan, ett problem med att webbdomänen kunde tillåta en obehörig att ha tillgång till system som används utanför brandväggen. Därifrån kan, NFS, NISM XM eller andra relationer kan exploateras för få ytterligare access till utvecklingssystemen, och därifrån access till produktionssystemen. Vad som krävs av organisation är att testa sina system och operationer för att sedan bestämma hur den ska gruppera system, tjänster, protokoll, och restriktioner tillsammans i samma maskin(system) för att en lämplig nivå av säkerhet kan bifogas. Till exempel Ett exempel på en lösning Nedan är ett exempel på en organisation som har utfört en riskanalys och designat ett nätverk enligt deras behov. I detta exempel har organisationen ett publikt nätverk t ex en WWW- och en FTP-server tillgänglig för allmänheten, ett mycket skyddat produktionsnätverk, ett utvecklingsnätverk och ett infrastruktursnätverk(t ex DNS) som både både produktion och utveckling kan använda. På detta sätt så behöver inte produktionsnätverket information från utvecklingsnätverket och tvärtom för att få infrastruktursupport. Slutsatser Genom att identifiera datorsystem, applikationer eller nätverkstjänster som har ett antal krav på säkerhet är det möjligt att applicera lämpligt skydd. Att kombinera två olika nivåer av säkerhetskrav sänker alla säkerhetsdomäner till den minsta gemensamma säkerhetsnivån, vilket sänker säkerhetsnivån för många domäner. Genom att separera olika typer av säkerhetsdomäner till olika delar i nätverket så kan de bli skyddade till en lämplig nivå vilket ökar skyddet mot inkräktare som då inte kan gå runt i nätverket hur som helst.