.:: polityka bezpieczeństwa w sieciach korporacyjnych ::.


Celem tego zanudzania jest przedstawienie problemu z jakim borykają się administratorzy sieci korporacyjnych. Na wstępie zdefiniujmy sobie pojęcie sieci korporacyjnej.

Sieć korporacyjna jest to cała infrastruktura informatyczna danego przedsiębiorstwa lub urzędu składająca się ze sprzętu komputerowego, urządzeń sieciowych (w tym również mediów transmisyjnych), zasobów programowych jak również personelu.

W większości przypadków sieci korporacyjne są sieciami hybrydowymi oraz heterogenicznymi opartymi na technologiach klient - serwer oraz zasobach rozproszonych. Dla osób nie zaznajomionych z terminologią sieciową wyjaśniam, że:

Sieć hybrydowa - jest to sieć łącząca w sobie cechy kilku rodzajów topologii fizycznych, np. tzw. Gwiazda gwiazd

Sieć heterogeniczna - jest to sieć wielosystemowa, w skład której wchodzą komputery pracujące pod różnymi systemami operacyjnymi (Novell, Unix, MS Windows)

Co powoduje, że zbudowanie skutecznych reguł bezpieczeństwa jest znacznie bardziej utrudnione niż w przypadku "prostych" sieci "osiedlowych". Na początku należy sobie uświadomić zagrożenia na jakie narażona jest potencjalna sieć (uwaga, użyta kolejność jest przypadkowa i nie ma na celu usystematyzowania poziomu zagrożenia):
- spam - mimo tego że jest to uciążliwe dla pojedynczych użytkowników, to może skutecznie zablokować korporacyjne serwery pocztowe
- usługi internetowe - blokowanie pracy serwerów jak i całych fragmentów sieci
- niebezpieczne programy - wirusy, konie trojańskie, itp...
- intruzi z zewnątrz sieci
- personel przedsiębiorstwa

Powyższa lista może troszkę zadziwić, zwłaszcza jeżeli chodzi o ostatnią pozycję. Jednakże analizę zagrożeń zaczniemy zgodnie od pierwszej pozycji.

SPAM - mimo jego uciążliwości dla pojedynczych użytkowników komputera może spowodować dość duże zamieszanie w całej infrastrukturze sieciowej. Jeżeli dane przedsiębiorstwo posiada własne serwery pocztowe mogą one być skutecznie zablokowane przez właśnie spam, jeżeli ktoś nie jest w stanie w to uwierzyć, niech popatrzy:

Załóżmy że w przedsiębiorstwie pracuje ok. 300 osób przy komputerach, niech każde z nich posiada własną skrzynkę pocztową, oraz każdy z działów posiada własną, oddzielną skrzynkę (załóżmy że jest 30 działów). Daje nam to niewielki wynik 330 kont pocztowych. Niech na każde z tych kont w ciągu godziny przyjdzie ok. 20 listów będących spamem lub też klasycznym fakemailem co daje nam już ilość 6600 listów w ciągu godziny, a co z kolei powoduje 158400 listów w ciągu doby. Załóżmy, że średnio każdy z tych listów miał rozmiar 2KB co daje nam 309,375 MB w ciągu doby otrzymanych wiadomości. Do tego oczywiście doliczmy czas poświęcony przez pracowników na przebijanie się przez "tony śmieci" w ich skrzynkach pocztowych, aby wyłowić potrzebną dla kontynuowania pracy informację.

Wydaje mi się, że ten przykład dość dobrze zobrazował zagrożenia jakie niesie ze sobą spam. A jeżeli w jednym z tych 158 tyś, listów pojawi się wirus lob robak??? Statystycznie jest to bardzo prawdopodobne...

Istnieje kilka skutecznych metod walki ze spamem. Do nich zaliczyć można używanie odpowiednich filtrów na oprogramowanie obsługujące pocztę elektroniczną lub specjalną konfigurację serwera pocztowego. W czasie zabezpieczania sieci przed spamem należy zastanowić się nad kilkoma kluczowymi czynnikami, takimi jak:

- czy serwer pocztowy może być używany spoza sieci korporacyjnej? - jeżeli odpowiedź jest pozytywna, należy spodziewać się, że zostanie wykorzystany do celów prywatnych pracownika (np. z domu, lub też kafejki internetowej) co może spowodować wzrost przychodzących niechcianych wiadomości

- czy korespondencja odbywa się tylko z kilkoma (lub też kilkudziesięcioma) adresami e-mail? - jeżeli tak to można pokusić się o odrzucanie wszystkich innych wiadomości pochodzących z odmiennych kont lub też serwerów pocztowych. Jednakże ustawienie takie spowoduje pewną blokadę w komunikacji ze światem

- intensywność wykorzystywania przeglądarek internetowych - aby zrozumieć istotę tego czynnika należy uświadomić sobie skąd bierze się spam - zazwyczaj trafiają do nas listy reklamowe z serwisów internetowych którym nieopatrznie podaliśmy swój adres, dane o adresie są przetwarzane i przekazywane innym firmom co po jakimś czasie spowoduje mało sympatyczny łańcuszek nieszczęść polegający na geometrycznym przyroście otrzymywanych śmieci. Praktycznie jedyną metodą na uniemożliwienie wystąpienia tego problemu jest odpowiednie przeszkolenie pracowników z zasad korzystania z zasobów firmowych do celów prywatnych.

Oczywiście żadna cudowna metoda nie jest skuteczna, zdolny spamer i tak znajdzie sposób na zdobycie adresu e-mail (a proszę mi wierzyć - jest to dziecinnie łatwe), należy po prostu wystrzegać się rozdawania na lewo i prawo adresu.

USŁUGI INTERNETOWE - jeżeli serwery przedsiębiorstwa świadczą jakiekolwiek usługi dla ogólnej rzeszy społeczeństwa internetowego są szczególnie narażone na niebezpieczeństwo włamania lub też zablokowania pracy. Aby ustrzec się temu niebezpieczeństwu należy dokładnie przemyśleć konfigurację sieci jeszcze przed uruchomieniem usług. Niestety nie ma 100% metody eliminującej możliwość zakłócenia pracy takiego serwera, jednakże stosując kilka zasad można te ryzyko zminimalizować dość wyraźnie.

- należy pamiętać aby na serwerach dostępnych spoza sieci korporacyjnej nie znajdowały się, żadne istotne dane firmowe, więc automatycznie wykluczone jest stworzenie serwera pełniącego rolę zarówno serwera HTTP jak i serwera baz danych czy też serwera drukarek.

- Całość sieci powinna znaleźć się za routerem (sprzętowym np. firmy Cisco lub też softwarowym - np. system Unixowy), co zapewni już dość duży poziom bezpieczeństwa, oddzielając wszystkie maszyny od dostępu z zewnątrz. Oczywiście router taki musi być odpowiednio skonfigurowany, nawet najlepszy i najdroższy model routera sprzętowego, który jest źle skonfigurowany nie będzie w stanie odpowiednio zabezpieczyć sieci przed intruzami

- Dobrym zwyczajem są serwery proxy, do których nawiązywane jest połączenie z zewnątrz. Postawienie owego serwera oczywiście wiąże się ze wzrostem kosztów budowy sieci jednakże przyjemnie zwiększa bezpieczeństwo sieci. Zasada działania takiego serwera jest stosunkowo prosta. Znajdują się one bezpośrednio za routerem, każde połączenie z zewnątrz przechodzące przez router - np. odwołanie się do zawartej na serwerze strony internetowej nie dociera bezpośrednio do serwera HTTP a w zamian trafia właśnie do serwera proxy, który w swojej bazie danych zawiera zawartość tej strony i przekazuje ją do klienta. Jeżeli serwer nie posiada żadnej informacji o stronie samodzielnie pobiera jej zawartość z faktycznego serwera HTTP co powoduje, że klient nigdy nie nawiązuje bezpośredniego połączenia z serwerem HTTP. Oczywiście dobra konfiguracja serwera proxy powinna uwzględniać aktualizacje witryn, więc należy ująć jakiś czas na aktualizację baz w serwerze. Wykorzystanie proxy zapewnia, że klient nigdy nie połączy się bezpośrednio z serwerem stron, a więc posiada ograniczoną możliwość ataku, a przebicie się przez proxy jest dość kłopotliwe, gdyż jego jedyną czynnością jest przekazywanie danych. Wykorzystanie serwerów proxy w konfiguracji sieci powoduje utworzenie tzw. Strefy zdemilitaryzowanej. Proxy posiadają również swoje wady - obniżają wolne pasmo łącza, spowolnione aktualizacje danych.

- Używanie sprawdzonych i dobrych aplikacji serwerowych opartych na stabilnym systemie operacyjnym. Już dawno udowodniono, że serwery uruchomione na flagowym systemie Microsoftu nie należą do najbezpieczniejszych - słynne wirusy REDCODE i BLUECODE atakują właśnie serwery giganta z Redmond.

NIEBEZPIECZNE PROGRAMY - zagrożenia jakie jest spowodowane przez wszelkiego typu wirusy, robaki, bomby logiczne, konie trojańskie czy jeszcze inne programy nie trzeba raczej dokładnie opisywać. Wydaje mi się, że większość ludzi zdaje sobie jednak sprawę z zagrożenia, jednakże sieć korporacyjna jest mocno zagrożona. Aby ustrzec się przed tego typu niebezpiecznymi aplikacjami nie wystarczy stosowanie najnowszego oprogramowania antywirusowego - należy pamiętać, że nawet najlepszy antywirus nie posiada w swoich bazach informacji o wirusach które pojawiły się "na dniach", a heurystyka nie zawsze jest skuteczna. Chodzi mi przede wszystkim o konie trojańskie i bomby logiczne, są to typy programów które mogą działać "pod przykrywką". Instalując program będący koniem trojańskim można nawet o tym nie wiedzieć, gdyż całe działanie destrukcyjne jest ukryte pod funkcjonalnością programu (np. program do odtwarzania multimediów, może również skutecznie usuwać pewne zbiory z dysku twardego). Bomby logiczne uruchamiając się tylko raz po jakimś czasie od instalacji w systemie uniemożliwiają skojarzenie przyczyny i źródła bomby. Keyloggery - programy wibitnie niebezpieczne i jakże lubiane przez wszelkiego typu włamywaczy komputerowych. Są w stanie przechwycić wszelkie hasła dostępowe, kody, jak również fragmenty korespondencji firmowej czy rozmów przez komunikatory internetowe czy sieciowe. Keylogger jest swoistym podsłuchem w sieci.

Jak już napisałem wcześniej, stosowanie oprogramowania antywirusowego nie jest skuteczna w 100%, cóż należy więc uczynić więcej?
- dokładne monitorowanie stanu systemów operacyjnych maszyn pracujących w sieci
- monitorowanie zainstalowanego oprogramowania
- dokładne przeszkolenie pracowników
- uprawnienia dla użytkowników sieci ustawione tylko na minimum - minimalizuje to prawdopodobieństwo zainstalowania jakiegoś niebezpiecznego programu, oraz zwiększa bezpieczeństwo przed przypadkowym uszkodzeniem systemu
- odpowiednio dobrane oprogramowanie skanujące, filtrujące itp...
- stosowanie jedynie oprogramowania legalnego, nieściągane z Internetu, zawierającego odpowiednie certyfikaty bezpieczeństwa

INTRUZI Z ZEWNĄTRZ SIECI - tym zagrożeniem administrator sieci korporacyjnej na szczęście nie musi się specjalnie przejmować (oczywiście jeżeli polityka wewnętrzna bezpieczeństwa w firmie jest odpowiednio sformułowana i wdrożona). Większość tzw. Hakerów nie jest w stanie włamać się do takiej sieci (większość z nich nie jest w stanie włamać się do własnego komputera), jednakże nie wolno bagatelizować tego zagrożenia. Intruzem zewnętrznym może być również osoba która znajduje się w budynku przedsiębiorstwa, ale nie będąca członkiem personelu, która w danej chwili może posiadać dostęp do komputera lub w inny sposób przechwycić istotne dla przedsiębiorstwa informacje. Jak widać polityka bezpieczeństwa w sieci musi doskonale się synchronizować z polityką bezpieczeństwa fizycznego w firmie. Osoby takie, będące np. technikami z firmy dostarczającej sprzęt komputerowy powinny być dokładnie pilnowane w momencie wykonywania przez siebie obowiązków.

PERSONEL PRZEDSIĘBIORSTWA - może ten rodzaj zagrożenia wydaje się niedorzeczny, jednakże po dokładniejszym przeanalizowaniu kilku poniższych przykładów wyda się jednak bardzo realny.

Przykład I.
Pewne przedsiębiorstwo posiadające sieć zbudowaną o technologię klient - serwer, gdzie serwery oparte były na systemach Linuksowych wymagało od każdego z pracowników umysłowych ciągłego logowania się na serwer, aby można było uruchomić niezbędne im do pracy aplikacje. Pracująca w sekretariacie kobieta nie mogła zapamiętać przydzielonego jej loginu i hasła (gdyż umysł jej zaprzątnięty był wieloma innymi sprawami) postanowiła ułatwić sobie życie i zapisała na karteczce samoprzylepnej niezbędne dane, z kolei które umieściła na monitorze.

Analiza przykładu:
Login i hasło powinny być najpilniej strzeżoną tajemnicą każdego z pracowników, gdyż ujawnienie ich może spowodować nieautoryzowany dostęp do serwera zawierającego istotne dane firmowe. Ujawnienie hasła dostępowego można porównać z wywieszeniem karteczki na sejfie 10-3-21-9.

Przykład II.
Do danej firmy zgłosiło się kilku ludzi posiadających identyfikatory, uprawnienia i tym podobne dokumenty potwierdzające ich tożsamość. Podali się za pracowników firmy XXX która miała wdrożyć system kryptograficzny zabezpieczający transmisję e-mail. Oczywiście nikt nie zgłaszał sprzeciwu ani nie przejawiał jakichkolwiek podejrzeń - przecież ludzie którzy przyszli nie mogą zrobić nic złego, przyszli nam pomóc. Podejrzenia nie wystąpiły nawet w momencie, kiedy ludzie ci zażądali hasła do skrzynek e-mail. Na szczęści nie pamiętano hasła do jednej ze skrzynek więc wykonano szybki telefon do admina aby ten udzielił im tej informacji - tu historia się urywa, zakończenie jej jest chyba łatwe do przewidzenia

Analiza przykładu:
Nieprzeszkolony personel stanowi olbrzymie zagrożenie dla bezpieczeństwa przedsiębiorstwa. Większości haseł nawet nie trzeba wykradać "wystarczy o nie poprosić" (K. Mitnick - Łamałem ludzi nie hasła), zwłaszcza jeżeli proszący wygląda bardzo przekonująco z przyczepionym fałszywym identyfikatorem

Owe dwa przykłady mam nadzieję uświadomiły zagrożenie jakie stwarzają pracownicy firmy lub przedsiębiorstwa. Większość owych zagrożeń wynika jedynie z niewiedzy, więc należy dołożyć wszelkich starań na odpowiednie wyszkolenie ludzi pracujących przy komputerach, mających dostęp do istotnych informacji pod względem bezpieczeństwa.

Inną sytuacją może być kiedy w przedsiębiorstwie znajdzie się "domorosły informatyk", który nudząc się między poszczególnymi zajęciami "bawi" się siecią i różnymi programami. Niestety takie sytuacje zdarzają się stosunkowo często, więc należy wystrzegać się ich uważnie. Jest kilka metod na ustrzeżenie się przed szkodami wywołanymi przez takie osoby:
- dokładne monitorowanie operacji wykonywanych przez każdego z pracowników
- ograniczenie uprawnień dostępowych do minimum
- stała kontrola sieci oraz stanu poszczególnych hostów
- prowadzenie stałego audytu na dodatkowych nośnikach danych

Oczywiście można by napisać jeszcze o wielu zagrożeniach dla sieci korporacyjnej - począwszy od trzęsienia ziemi, a kończąc na bombardowaniu, jednakże te kilka jakie zostały przeze mnie wymienione są najistotniejsze. Administrując sieciami korporacyjnymi należy przestrzegać kilku żelaznych zasad:
- kopie zapasowe ponad wszystko
- przekazywać jak najmniej informacji na temat infrastruktury sieci
- dokładnie przeszkolić personel
- każdy człowiek to potencjalny włamywacz pragnący jedynie zniszczyć infrastrukturę sieciową

Mam nadzieję, że ten przydługi bądź co bądź tekst nie zanudził Cię szanowny czytelniku na śmierć, pisząc go miałem jednak na celu przedstawienie Ci kilki zagrożeń i "uroków" bycia administratorem...

Marcin Anubis Tomaszewski
anubis2@poczta.wp.pl