Bezpečnostní audit Firewall a IDS
1 Úvod
Pro soudobou informační společnost je typické plošné využívání informačních a komunikačních technologií, a proto se řízení informatiky stává jedním z klíčových prvků celkového managementu většiny organizací. Znalost skutečného stavu informatiky je rozhodujícím prvkem efektivního a úspěšného rozvoje. Důležitým nástrojem pro poznání objektivního stavu řízení informační bezpečnosti je bezpečnostní audit ICT, který je důležitou složkou prohlubující nepostradatelné zpětné vazby.
Tato případová studie je názornou ukázkou jak jeden takový audit firewallů a IDS probíhal v praxi, s jakými úskalími se auditoři setkali a ukazuje kroky, jak se auditoři s těmito nástrahami vypořádali.
2 Principy a metodika
Na začátku této případové studie uvedeme metodiky a postupy, podle kterých jsme v průběhu celého auditu postupovali. V dalším textu pak ukážeme jak nám tyto normy pomohly v průběhu auditu.
Již na začátku, tj. při tvorbě nabídky jsme identifikovali 3 normy, podle kterých budeme postupovat. Byly to:
• ČSN EN ISO 19011:2003 - Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu
• ISACA, 2003, IS auditing procedure - Firewalls
• ISACA, 2003, IS auditing procedure, Intrusion Detection Systems Review
První z norem říká jak postupovat při libovolném auditu, jaké principy je nutné dodržet při auditu, další dvě normy pak popisují konkrétní body, které je při auditu FW a IDS dobré přehodnotit.
2.1 ČSN EN ISO 19011:2003 - Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu
Norma ČSN EN ISO 19011:2003 je mezinárodně využívána i pro účely auditu managementu bezpečnosti informací. Tato norma popisuje několik základních principů auditu a dále doporučuje jak postupovat při auditu.
Mezi základní principy auditu patří:
• Etické provedení: základ profesionality - principy zachování důvěrnosti o zjištěných skutečnostech a důvěřa auditovaného
• Objektivní prezentace - Zjištění auditu prezentovat pravdivě a přesně včetně všech překážek během auditu
• Princip práce podle nejlepšího vědomí a svědomí
• Nezávislost - auditor musí být nezávislý, nezainteresovaný a má přinášet objektivní informace
• Audit jen podle důkazů - při auditu je nutné vycházet z doložitelných skutečností tak aby byl audit opakovatelný. Důkazy musí být verifikovatelné. Při auditu lze postupovat metodou vzorkování.
Norma doporučuje jak postupovat při auditu, který můžeme zjednodušeně, rozdělený do následujících pěti částí, interpretovat takto,:
• Zahájení auditu - v této fázi jde o definování cíle, předmětu a kritérií auditu. Je také definován auditní tým, včetně jmenování hlavního auditora
• Přezkoumání dokumentace a příprava činností na místě - Tato fáze auditu slouží k prostudování existující dokumentace, která je základem pro návrh účinného plánu auditu. Součástí této fáze auditu je též příprava různých pracovních dokumentů (např. dotazníky apod.).
• Provádění auditu na místě - jádro celého auditu, kdy dochází k vlastnímu směru informací o skutečném fungování systému, k ověřování zjištěných skutečností a ke shromáždění důkazů.
• Příprava, schválení a distribuce zprávy z auditu - znamená důkladné vyhodnocení všech zjištěných skutečností při zvážení negativních dopadů a dalších souvislostí. Tato práce je základem pro zformulování stručné a výstižné zprávy z auditu. Součástí je také prezentace výsledků a následná diskuze se všemi odpovědnými manažery a administrátory. Předtím, než je závěrečná zpráva předložena, je předána k oponentuře zadavateli aby se ten mohl k výsledkům vyjádřit.
• Dokončení auditu - pro vlastní auditní tým je důležité, aby si sám vyhodnotit úspěšné i méně zdařilé stránky auditu. Proto i zpětná vazba je důležitým nástrojem zlepšování u nás auditorů.
2.2 ISACA, 2003, IS auditing procedure - Firewalls
Tato norma mimo jiné uvádí postup jak auditovat firewall, a to výčtem bodů, které je vhodné zhodnotit. Z normy jsme vybrali několik hlavních bodů, podle kterých jsme pak při auditu postupovali.
• Zhodnocení pravidel firewallu s ohledem na IS bezpečnostní politiku.
• Zhodnocení designu základních služeb chráněných firewallem (DNS, SMTP, HTTP, proxy). Zhodnocení pravidel firewallu vztažené k těmto službám.
• Zhodnocení architektury DMZs a firewallových pravidel vztažených k DMZ.
• Zhodnocení procedur pro administraci firewallu (zhodnocení fyzického přístupu k firewallu a logikých přístupových mechanizmů).
• Zhodnocení procedur pro konfiguraci pravidel firewallu, procedur pro schvalování úprav pravidel, kvalitou komentářů.
• Zhodnocení základní konfigurace jako operační systém, záplaty, směrování, NTP, ...
• Zhodnocení konfigurace nižších vrstev (antispoofing, fragmentované pakety, ...).
• Zhodnocení logování a alertování.
• Zhodnocení pravidel zálohování.
• Zhodnocení úplnosti a aktuálnosti provozní dokumentace.
2.3 ISACA, 2003, IS auditing procedure, Intrusion Detection Systems Review
Tato norma mimo jiné uvádí postup jak auditovat IDS, a to výčtem bodů, které je vhodné zhodnotit. Z normy vybíráme několik hlavních bodů:
• Zhodnocení nasazení IDS vzhledem k analýze rizik,
• Zhodnocení procedur pro rekonfiguraci IDS, (false positives, filtry, změna závažnosti signatury,
• Zhodnocení procedur pro aktualizaci signatur,
• Zhodnocení znalostní báze incidentů a procedur pro reportování incidentů,
• Zhodnocení nastavení korelace s ostatními systémy,
• Zhodnocení, kde jsou v síti umístěny kritické prvku a kde chce organizace začít s detekcí,
• Zhodnocení komplexního řešení incidentů.
3 Průběh samotného auditu
3.1 Poptávka
Ke konci roku 2005 jsme obdrželi poptávku na audit firewallů a IDS. Zadavatel již na začátku vymezil rozpočet auditu odpovídajícímu práce 20 člověkodnů. Zadavatel požadoval provést:
• Zhodnocení architektury firewallů, pravidel a konfigurace firewallů s ohledem na současné hrozby, kterým společnost čelí
• Zhodnotit nasazení IDS s ohledem na konfiguraci firewallů a s ohledem na doporučení výrobce.
• Zhodnocení dokumentace týkající se následujících procedur:
o Konfigurace a úprava firewallových pravidel
o Logický přístup k firewallům a IDS
• Zhodnocení monitorování logů firewallů a IDS
• Posouzení úplnosti a aktuálnosti provozní dokumentace
Dále bylo z poptávky patrné, že audit firewallů a IDS je v tomto případě součástí celofiremního auditu řešícího kompatibilitu společnosti s mezinárodními normami.
3.2 Nabídka
Již při tvorbě nabídky jsme vycházeli především ze tří výše uvedených norem. Tj. již v nabídce jsme uvedli, že při auditu firewallu budeme podle těchto norem postupovat a dále jsme již v nabídce popsali jak bude průběh auditu vypadat.
Dále jsme uvedli, že firewally zhodnotíme podle 10 bodů, které jsme vybrali z normy od ISACA [2] a identifikovali jsme, jak jednotlivé body nabídky pokryjí body poptávky. Stejně tak jsme popsali jaké body podle [3] budeme hodnotit při auditu IDS.
Dalším klíčovým prvkem v nabídce byl limit auditu na 20 člověkodnů. Tady jsme použili jeden ze základních principů auditu a to vzorkování.
Vzorkování se používá téměř při každém auditu, a to právě kvůli omezením ať již časovým nebo finančním. Během auditu je hodnocen nějaký reprezentativní vzorek auditovaného zařízení či procesu a na základě výsledků auditu tohoto vzorku lze usuzovat na stav ostatních zařízení/procesů.
Již v nabídce jsme tedy uvedli, že společně se zadavatelem jako vzorek vybereme dva firewally, jež zhodnotíme a také 2 IDS senzory, jež budeme auditovat (tedy zcela nezávisle na počtu firewallů či IDS senzorů zákazníka).
3.3 Zahájení auditu
Při zahájení auditu byl představen auditní tým, jmenován vedoucí auditu a byly představeny cíl a rozsah auditu. Dále jsme požádali zákazníka o dodání dokumentace (specifikovali jsme konkrétní dokumenty, které by nás při auditu mohly zajímat).
Dále byla se zákazníkem dohodnutá stupnice závažnosti zjištění nalezených při auditu. Zákazník tak mohl výstupy přímo použít aniž by musel stupně závažnosti nějak přepočítávat.
3.4 Přezkoumání dokumentace
Nejobtížnější bod auditu nastal v okamžiku, kdy zákazník dodal dokumentaci vztaženou k firewallům a IDS.
Zde je nutné připomenout jeden z principů auditu -audit musí být založený na důkazech (evidenci). Všechny zjištění při auditu musí být něčím doložitelné (aby byly výsledky auditu opakovatelné). Tj. např. nelze hodnotit design firewallu a DMZ bez toho, aniž by auditor znal záměr, proč je to postavené zrovna takto. Hodnotit to bez znalosti záměru je analýza, ale není to audit.
Při předložení dokumentace zákazníkem se ukázalo, že dokumentace je velmi omezená a nedostatečná, tudíž některé body auditu buď není možné provést nebo je možné provést je částečně. Nebyly dodány především následující dokumenty:
• Bezpečnosní politika firewallu (která by umožnila zhodnotit design firewallů a pravidla firewallů)
• Detailní analýza rizik a
• Projekt nasazení IDS, které by umožňily zhodnotit vhodnost nasazení IDS
Na druhou stranu bylo evidentní, že zaměstnanci (operátoři, designeři sítě) zákazníka svou síť znají a jsou schopni popsat a zdůvodnit nasazení jednotlivých firewallů.
Zde jsme opět použili doporučení normy [1], která říká, že mezi legální metody sběru informací patří:
• Interview
• Pozorování aktivit
• Dokumentace
Navrhli jsme tedy, že chybějící dokumentaci firewallů nahradíme (tam kde to bude možné) pomocí interview, na základě něhož zformulujeme neformální politiku firewallů (takovou, která dostačí potřebám auditu). I tuto složitou situaci se nám tedy povedlo se zákazníkem poměrně úspěšně vyřešit, audit mohl pokračovat.
Byl tedy přehodnocen plán auditu a bylo rozhodnuto, že:
• Bezpečnostní politika firewallu bude zformulována na základě interview s oddělením Engineering. Tj. na základě interview bude vytvořen dokument popisující co dané firewally chrání, jaký je jejich záměr, jaká je jejich architektura a proč. Na základě tohoto dokumentu pak bude zhodnocen skutečný stav firewallů a budou zhodnocena pravidla firewallu, zda odpovídají zamýšlenému.
• Audit IDS bude vzhledem k chybějící analýze rizik značně zkrácen. Analýzu rizik totiž nebylo možné nahradit pouhým interview.
• Součástí výstupní zprávy budou jako přidány následující dokumenty (jako kompenzace za zkrácení rozsahu IDS):
o Základní kostru dokumentů (a jejich provázanost):
? bezpečnostní politiku firewallu,
? procedury spojené s údržbou firewallu
o Doporučení týkající se monitorování sítě
3.5 Audit na místě
Audit na místě probíhal v několika krocích. Prvním krokem tedy bylo interview, na jehož základě jsme zfromulovali neformální bezpečnostní politiku firewallu. Na základě této jsme pak posuzovali zda skutečná konfigurace firewallu odpovídá skutečnosti. V průběhu auditu jsme tedy hodnotili firewally jak z hlediska architektury a designu, tak především z hlediska provozu firewallů (jednotlivé body viz kapitola 2.2).
Audit IDS jak již bylo řečeno byl výrazně limitován, hodnotili jsme především úplnost a aktuálnost provozní dokumentace. V závěrečné zprávě jsme pak uvedli ještě několik minoritních zjištění, které bylo možné objektivně posoudit bez jiných zdrojů.
Během celého auditu, zejména pak při auditu na místě jsme se snažili o maximální objektivitu. Tato je podle [1] dosažená tehdy, když auditor je:
• Přístupný názorům - je ochotný připustit jiné alternativy pohledu na věc
• Taktický při jednání s lidmi
• Vnímavý
• Jedná eticky
• Vytrvalý
• ...
Mimo jiné to při auditu znamenalo, že jsme se zákazníkem (lidmi, kteří nám poskytovali informace) jednali otevřeně. Zákazník již v průběhu auditu věděl o zjištěních, které jsme pak prezentovali. Mohl nás tedy již v průběhu auditu upozornit na naše pochybení, mohl se ohradit proti zjištěním, které se nezakládají na pravdě.
Audit firewallů mimo ukázal např., že:
• Některé z pravidel firewallu neodpovídají úplně neformálně definované politice
• Nejsou dobře stanovana pravidla pro údržbu pravidel firewallu:
o Několik pravidel mělo komentář „pokusné", ale nebylo již jasné, kdy se má příslušné pravidlo smazat
o Z pravidla nebylo možné dohledat důvod proč se na firewallu objevilo (princip evidence (komentáře) nebyl dostatečný)
• Existují 2 skupiny oprerátorů. Protože pravidla pro provoz firewallů nejsou popsána, existují mezi těmito dvěma skupinami rozdíly v údržbě firewallů
• Provozní dokumentace je neúplná
3.6 Prezentace výsledků
Prezentace výsledků obvykle probíhá ve dvou fázích. Nejprve jsme zákazníkovi předali vypracovanou závěrečnou zprávu. K této měl zákazník možnost se vyjádřit. Je důležité, aby zákazník měl tuto možnost, protože auditor může něco přehlédnout nebo opomenout. Závěrečná zpráva by měla obsahovat objektivní informace, aby ji zákazník mohl použít dále ve firmě (např. pro potřeby jiného auditu). Součástí výstupní zprávy byly:
• Kritéria auditu
• Rozsah a cíl auditu
• Metody a principy auditu
• Auditní tým
• Jednotlivá zjištění (včetně jejich stupně závažnosti),
• Doporučení jak tato zjištění efektivně napravit.
Po oponentuře byly výsledky auditu prezentovány formou workshopu. Samotná prezentace trvala asi 20 minut, mnohem delší čas byl pak věnován diskusi nad zjištěnými informacemi a doporučeními.
Při samotném auditu i prezentaci výsledků jsme se snažili nenacházet pouze negativní věci. Prezentovali jsme jak zjištěné nedostatky, tak části, které jsme považovali za pozitivní a dobře etablované.
4 Závěr
Dostupné normy jsou dobrým zdrojem informací, mohou sloužit jako vodítko (check-list) pro vykonávání daných činnosti. Neznamená to, že bychom mohli firewally či IDS auditovat jen na základě znalosti norem. Jen na základě našich zkušeností v oblasti designu, implementace a provozu firewallů a IDS a na základě zkušeností nabytých při jiných auditech jsme byli schopni provést audit, s jehož průběhem a výsledkem byl zákazník spokojený.
Na druhou stranu vybrané normy nás několikrát v průběhu auditu nasměrovaly na správnou cestu.
Literatura
Reference na použité normy:
1. ČSN EN ISO 19011:2003 - Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu,
2. ISACA, 2003, IS auditing procedure - Firewalls,
3. ISACA, 2003, IS auditing procedure - Intrusion Detection Systems Review.
Annotation:
Case study - Firewall and IDS security audit
This text is a case study of Firewall and IDS security audit. In the beginning there are outlined methods and priciples used during the audit. Furthemore it is described how the audit was conducted and then particular milestones of the audit are mentioned. It is described how particular principles from norms were practically used when conducting the audit. This case study shows the value of using the norms as guidelines.
Zpracoval: Jiří ROSENMAYER, ANECT a.s.
