«Bygdetulling» gir bedre nettsikkerhet

Extreme Networks har søkt uventet inspirasjon for sin sikkerhetsboks Sentriant NG.

DNS Norway har en tid vært norsk distributør for produktene til Extreme Networks. På et kundemøte i Oslo presenterte Michael Beaver, med tittel «chief security evangelist» i Extreme, noen av selskapets nye produkter innen sikkerhet, blant dem boksen Sentriant NG.

Sentriant NG koples til nettverket bak brannmuren. Den skal kunne stoppe det meste av såkalte nulldagstrusler, og støtter seg følgelig ikke på signaturer, men på i underkant av tjue regler. Den er også i stand til å handle på egen hånd, og skal kunne automatisk utestenge en infisert PC fra det øvrige lokalnettet. Teknologien skalerer opp til 64 virtuelle lokalnett, ifølge Beaver.

– Tanken er å beskytte nettverket fra kjernen og utover, forklarer Beaver. – Vi mener det fokuseres for mye på sikkerhet på randen av nettverket. Og hva oppnår man egentlig ved å installere et IDS [«intrusion detection system», altså snokvarsler]? Ikke annet enn at du vet du har alvorlig trøbbel. Det er like nyttig som et høyoppløselig bilde av huset ditt når det brenner.

Det enkle utgangspunktet for Sentriant NG er nulltoleranse:

– Alt du ikke vil ha i nettverket ditt, betraktes som en trussel. All unormal oppførsel motarbeides øyeblikkelig. Sentriant NG reagerer på forsøk på å pinge alle i nettet, på portskanning, på forsøk på å etablere kontakt med ubrukte IP-adresser og så videre. Slik oppførsel er typiske for angrep som er i en tidlig fase, og det er maktpåliggende å reagere øyeblikkelig, før angrepet går over til kommunikasjon og infeksjon.

For å realisere dette, tyr boksen til flere teknikker som gjenspeiler en gjennomtenkt tilnærming til nettsikkerhet.

En teknikk kaller Beaver for «virtual decoys», altså virtuelle lokkemidler.

– Hvis noen prøver å etablere kontakt med noe som ikke finnes i nettverket, later Sentriant NG som om entiteten faktisk finnes. Vi brukere forskjellige protokollteknikker for å emulere ulike typer utstyr.

En annen teknikk er å sinke angrepstrafikken.

– Vi manipulerer TCP-parametrene i kommunikasjonen med våre virtuelle lokkemidler. Vi kan få angriperen til å sende oss en pakke om gangen, og når angriperen reagerer på at det går for sakte, sender vi en høflig unnskyldning og ber om å få tilsendt den samme pakken en gang til. Med andre ord: Vi tvinger angriperen til å prøve å kommunisere med en slags bygdetulling. Vi kan fange opp en portskan som skulle tatt 35 sekunder, og holde den i gang i 35 minutter. Angriperen holdes i ånde.

Begrunnelsen er at det framfor alt gjelder å vinne tid, og holde den uunngåelige angrepstrafikken ned til et absolutt minimum.

– En tredje teknikk er også påkrevet. Vi kaller det «cloaking». Prinsippet er å hindre angriperen fra å snakke med andre enn det virtuelle lokkemiddelet. Vi bruker ARP [address resolution protocol] til å dirigere angrep bort fra andre mål. Til sammen betyr dette at vi både har sinket angrepet og i praksis tvunget det offline.

Effektiviteten kan utvides gjennom en proprietær Extreme-teknologi døpt Clearflow.

– Hensikten er å la resten av nettverket ta del i forsvaret. Virkningen er at nettsvitsjen blokkerer angrepet på svitsjporten, etter IP-adressen.

Beaver forteller at han gjennom mange år arbeidet med nettverkarkitektur på store hoteller i Las Vegas, og ble oppmerksom på Extreme gjennom dette arbeidet.

– Noe av det som imponerte meg, var at Sentriant var en av de to løsningene som viste seg å være i stand til å stanse viruset SQL Slammer på nulldagen. Jeg hadde ansvaret for nettet på det største hotellet i Las Vegas, med 3500 rom og ni ulike sikkerhetssoner. Vi måtte være rustet til alt, blant annet under den internasjonale hackersamlingen Defcon.

Sentriant-boksene ble også brukt under store samlinger som Network + Interop i Las Vegas i 2006 og 2007.

– I 2007 stanset vi gjennomsnittlig 50.000 angrep i timen, mens arrangementet varte, forteller Beaver.

Til toppen