.:: polityka bezpieczeństwa w sieciach
korporacyjnych ::.
Celem tego zanudzania jest przedstawienie problemu z jakim borykają
się administratorzy sieci korporacyjnych. Na wstępie zdefiniujmy
sobie pojęcie sieci korporacyjnej.
Sieć korporacyjna jest to cała infrastruktura informatyczna
danego przedsiębiorstwa lub urzędu składająca się ze sprzętu
komputerowego, urządzeń sieciowych (w tym również mediów
transmisyjnych), zasobów programowych jak również personelu.
W większości przypadków sieci korporacyjne są sieciami
hybrydowymi oraz heterogenicznymi opartymi na technologiach klient -
serwer oraz zasobach rozproszonych. Dla osób nie zaznajomionych z
terminologią sieciową wyjaśniam, że:
Sieć hybrydowa - jest to sieć łącząca w sobie cechy kilku
rodzajów topologii fizycznych, np. tzw. Gwiazda gwiazd
Sieć heterogeniczna - jest to sieć wielosystemowa, w skład której
wchodzą komputery pracujące pod różnymi systemami operacyjnymi (Novell,
Unix, MS Windows)
Co powoduje, że zbudowanie skutecznych reguł bezpieczeństwa
jest znacznie bardziej utrudnione niż w przypadku
"prostych" sieci "osiedlowych". Na początku
należy sobie uświadomić zagrożenia na jakie narażona jest
potencjalna sieć (uwaga, użyta kolejność jest przypadkowa i nie
ma na celu usystematyzowania poziomu zagrożenia):
- spam - mimo tego że jest to uciążliwe dla pojedynczych użytkowników,
to może skutecznie zablokować korporacyjne serwery pocztowe
- usługi internetowe - blokowanie pracy serwerów jak i całych
fragmentów sieci
- niebezpieczne programy - wirusy, konie trojańskie, itp...
- intruzi z zewnątrz sieci
- personel przedsiębiorstwa
Powyższa lista może troszkę zadziwić, zwłaszcza jeżeli
chodzi o ostatnią pozycję. Jednakże analizę zagrożeń zaczniemy
zgodnie od pierwszej pozycji.
SPAM - mimo jego uciążliwości dla pojedynczych użytkowników
komputera może spowodować dość duże zamieszanie w całej
infrastrukturze sieciowej. Jeżeli dane przedsiębiorstwo posiada własne
serwery pocztowe mogą one być skutecznie zablokowane przez właśnie
spam, jeżeli ktoś nie jest w stanie w to uwierzyć, niech
popatrzy:
Załóżmy że w przedsiębiorstwie pracuje ok. 300 osób przy
komputerach, niech każde z nich posiada własną skrzynkę pocztową,
oraz każdy z działów posiada własną, oddzielną skrzynkę (załóżmy
że jest 30 działów). Daje nam to niewielki wynik 330 kont
pocztowych. Niech na każde z tych kont w ciągu godziny przyjdzie
ok. 20 listów będących spamem lub też klasycznym fakemailem co
daje nam już ilość 6600 listów w ciągu godziny, a co z kolei
powoduje 158400 listów w ciągu doby. Załóżmy, że średnio każdy
z tych listów miał rozmiar 2KB co daje nam 309,375 MB w ciągu
doby otrzymanych wiadomości. Do tego oczywiście doliczmy czas poświęcony
przez pracowników na przebijanie się przez "tony śmieci"
w ich skrzynkach pocztowych, aby wyłowić potrzebną dla
kontynuowania pracy informację.
Wydaje mi się, że ten przykład dość dobrze zobrazował zagrożenia
jakie niesie ze sobą spam. A jeżeli w jednym z tych 158 tyś, listów
pojawi się wirus lob robak??? Statystycznie jest to bardzo
prawdopodobne...
Istnieje kilka skutecznych metod walki ze spamem. Do nich zaliczyć
można używanie odpowiednich filtrów na oprogramowanie obsługujące
pocztę elektroniczną lub specjalną konfigurację serwera
pocztowego. W czasie zabezpieczania sieci przed spamem należy
zastanowić się nad kilkoma kluczowymi czynnikami, takimi jak:
- czy serwer pocztowy może być używany spoza sieci
korporacyjnej? - jeżeli odpowiedź jest pozytywna, należy
spodziewać się, że zostanie wykorzystany do celów prywatnych
pracownika (np. z domu, lub też kafejki internetowej) co może
spowodować wzrost przychodzących niechcianych wiadomości
- czy korespondencja odbywa się tylko z kilkoma (lub też
kilkudziesięcioma) adresami e-mail? - jeżeli tak to można pokusić
się o odrzucanie wszystkich innych wiadomości pochodzących z
odmiennych kont lub też serwerów pocztowych. Jednakże ustawienie
takie spowoduje pewną blokadę w komunikacji ze światem
- intensywność wykorzystywania przeglądarek internetowych -
aby zrozumieć istotę tego czynnika należy uświadomić sobie skąd
bierze się spam - zazwyczaj trafiają do nas listy reklamowe z
serwisów internetowych którym nieopatrznie podaliśmy swój adres,
dane o adresie są przetwarzane i przekazywane innym firmom co po
jakimś czasie spowoduje mało sympatyczny łańcuszek nieszczęść
polegający na geometrycznym przyroście otrzymywanych śmieci.
Praktycznie jedyną metodą na uniemożliwienie wystąpienia tego
problemu jest odpowiednie przeszkolenie pracowników z zasad
korzystania z zasobów firmowych do celów prywatnych.
Oczywiście żadna cudowna metoda nie jest skuteczna, zdolny
spamer i tak znajdzie sposób na zdobycie adresu e-mail (a proszę
mi wierzyć - jest to dziecinnie łatwe), należy po prostu
wystrzegać się rozdawania na lewo i prawo adresu.
USŁUGI INTERNETOWE - jeżeli serwery przedsiębiorstwa świadczą
jakiekolwiek usługi dla ogólnej rzeszy społeczeństwa
internetowego są szczególnie narażone na niebezpieczeństwo włamania
lub też zablokowania pracy. Aby ustrzec się temu niebezpieczeństwu
należy dokładnie przemyśleć konfigurację sieci jeszcze przed
uruchomieniem usług. Niestety nie ma 100% metody eliminującej możliwość
zakłócenia pracy takiego serwera, jednakże stosując kilka zasad
można te ryzyko zminimalizować dość wyraźnie.
- należy pamiętać aby na serwerach dostępnych spoza sieci
korporacyjnej nie znajdowały się, żadne istotne dane firmowe, więc
automatycznie wykluczone jest stworzenie serwera pełniącego rolę
zarówno serwera HTTP jak i serwera baz danych czy też serwera
drukarek.
- Całość sieci powinna znaleźć się za routerem (sprzętowym
np. firmy Cisco lub też softwarowym - np. system Unixowy), co
zapewni już dość duży poziom bezpieczeństwa, oddzielając
wszystkie maszyny od dostępu z zewnątrz. Oczywiście router taki
musi być odpowiednio skonfigurowany, nawet najlepszy i najdroższy
model routera sprzętowego, który jest źle skonfigurowany nie będzie
w stanie odpowiednio zabezpieczyć sieci przed intruzami
- Dobrym zwyczajem są serwery proxy, do których nawiązywane
jest połączenie z zewnątrz. Postawienie owego serwera oczywiście
wiąże się ze wzrostem kosztów budowy sieci jednakże przyjemnie
zwiększa bezpieczeństwo sieci. Zasada działania takiego serwera
jest stosunkowo prosta. Znajdują się one bezpośrednio za routerem,
każde połączenie z zewnątrz przechodzące przez router - np.
odwołanie się do zawartej na serwerze strony internetowej nie
dociera bezpośrednio do serwera HTTP a w zamian trafia właśnie do
serwera proxy, który w swojej bazie danych zawiera zawartość tej
strony i przekazuje ją do klienta. Jeżeli serwer nie posiada żadnej
informacji o stronie samodzielnie pobiera jej zawartość z
faktycznego serwera HTTP co powoduje, że klient nigdy nie nawiązuje
bezpośredniego połączenia z serwerem HTTP. Oczywiście dobra
konfiguracja serwera proxy powinna uwzględniać aktualizacje
witryn, więc należy ująć jakiś czas na aktualizację baz w
serwerze. Wykorzystanie proxy zapewnia, że klient nigdy nie połączy
się bezpośrednio z serwerem stron, a więc posiada ograniczoną możliwość
ataku, a przebicie się przez proxy jest dość kłopotliwe, gdyż
jego jedyną czynnością jest przekazywanie danych. Wykorzystanie
serwerów proxy w konfiguracji sieci powoduje utworzenie tzw. Strefy
zdemilitaryzowanej. Proxy posiadają również swoje wady - obniżają
wolne pasmo łącza, spowolnione aktualizacje danych.
- Używanie sprawdzonych i dobrych aplikacji serwerowych opartych
na stabilnym systemie operacyjnym. Już dawno udowodniono, że
serwery uruchomione na flagowym systemie Microsoftu nie należą do
najbezpieczniejszych - słynne wirusy REDCODE i BLUECODE atakują właśnie
serwery giganta z Redmond.
NIEBEZPIECZNE PROGRAMY - zagrożenia jakie jest
spowodowane przez wszelkiego typu wirusy, robaki, bomby logiczne,
konie trojańskie czy jeszcze inne programy nie trzeba raczej dokładnie
opisywać. Wydaje mi się, że większość ludzi zdaje sobie jednak
sprawę z zagrożenia, jednakże sieć korporacyjna jest mocno zagrożona.
Aby ustrzec się przed tego typu niebezpiecznymi aplikacjami nie
wystarczy stosowanie najnowszego oprogramowania antywirusowego -
należy pamiętać, że nawet najlepszy antywirus nie posiada w
swoich bazach informacji o wirusach które pojawiły się "na
dniach", a heurystyka nie zawsze jest skuteczna. Chodzi mi
przede wszystkim o konie trojańskie i bomby logiczne, są to typy
programów które mogą działać "pod przykrywką".
Instalując program będący koniem trojańskim można nawet o tym
nie wiedzieć, gdyż całe działanie destrukcyjne jest ukryte pod
funkcjonalnością programu (np. program do odtwarzania multimediów,
może również skutecznie usuwać pewne zbiory z dysku twardego).
Bomby logiczne uruchamiając się tylko raz po jakimś czasie od
instalacji w systemie uniemożliwiają skojarzenie przyczyny i źródła
bomby. Keyloggery - programy wibitnie niebezpieczne i jakże lubiane
przez wszelkiego typu włamywaczy komputerowych. Są w stanie
przechwycić wszelkie hasła dostępowe, kody, jak również
fragmenty korespondencji firmowej czy rozmów przez komunikatory
internetowe czy sieciowe. Keylogger jest swoistym podsłuchem w
sieci.
Jak już napisałem wcześniej, stosowanie oprogramowania
antywirusowego nie jest skuteczna w 100%, cóż należy więc uczynić
więcej?
- dokładne monitorowanie stanu systemów operacyjnych maszyn pracujących
w sieci
- monitorowanie zainstalowanego oprogramowania
- dokładne przeszkolenie pracowników
- uprawnienia dla użytkowników sieci ustawione tylko na minimum -
minimalizuje to prawdopodobieństwo zainstalowania jakiegoś
niebezpiecznego programu, oraz zwiększa bezpieczeństwo przed
przypadkowym uszkodzeniem systemu
- odpowiednio dobrane oprogramowanie skanujące, filtrujące itp...
- stosowanie jedynie oprogramowania legalnego, nieściągane z
Internetu, zawierającego odpowiednie certyfikaty bezpieczeństwa
INTRUZI Z ZEWNĄTRZ SIECI - tym zagrożeniem administrator
sieci korporacyjnej na szczęście nie musi się specjalnie
przejmować (oczywiście jeżeli polityka wewnętrzna bezpieczeństwa
w firmie jest odpowiednio sformułowana i wdrożona). Większość
tzw. Hakerów nie jest w stanie włamać się do takiej sieci (większość
z nich nie jest w stanie włamać się do własnego komputera),
jednakże nie wolno bagatelizować tego zagrożenia. Intruzem zewnętrznym
może być również osoba która znajduje się w budynku przedsiębiorstwa,
ale nie będąca członkiem personelu, która w danej chwili może
posiadać dostęp do komputera lub w inny sposób przechwycić
istotne dla przedsiębiorstwa informacje. Jak widać polityka
bezpieczeństwa w sieci musi doskonale się synchronizować z
polityką bezpieczeństwa fizycznego w firmie. Osoby takie, będące
np. technikami z firmy dostarczającej sprzęt komputerowy powinny
być dokładnie pilnowane w momencie wykonywania przez siebie obowiązków.
PERSONEL PRZEDSIĘBIORSTWA - może ten rodzaj zagrożenia
wydaje się niedorzeczny, jednakże po dokładniejszym
przeanalizowaniu kilku poniższych przykładów wyda się jednak
bardzo realny.
Przykład I.
Pewne przedsiębiorstwo posiadające sieć zbudowaną o technologię
klient - serwer, gdzie serwery oparte były na systemach Linuksowych
wymagało od każdego z pracowników umysłowych ciągłego
logowania się na serwer, aby można było uruchomić niezbędne im
do pracy aplikacje. Pracująca w sekretariacie kobieta nie mogła
zapamiętać przydzielonego jej loginu i hasła (gdyż umysł jej
zaprzątnięty był wieloma innymi sprawami) postanowiła ułatwić
sobie życie i zapisała na karteczce samoprzylepnej niezbędne
dane, z kolei które umieściła na monitorze.
Analiza przykładu:
Login i hasło powinny być najpilniej strzeżoną tajemnicą każdego
z pracowników, gdyż ujawnienie ich może spowodować
nieautoryzowany dostęp do serwera zawierającego istotne dane
firmowe. Ujawnienie hasła dostępowego można porównać z
wywieszeniem karteczki na sejfie 10-3-21-9.
Przykład II.
Do danej firmy zgłosiło się kilku ludzi posiadających
identyfikatory, uprawnienia i tym podobne dokumenty potwierdzające
ich tożsamość. Podali się za pracowników firmy XXX która miała
wdrożyć system kryptograficzny zabezpieczający transmisję e-mail.
Oczywiście nikt nie zgłaszał sprzeciwu ani nie przejawiał
jakichkolwiek podejrzeń - przecież ludzie którzy przyszli nie mogą
zrobić nic złego, przyszli nam pomóc. Podejrzenia nie wystąpiły
nawet w momencie, kiedy ludzie ci zażądali hasła do skrzynek
e-mail. Na szczęści nie pamiętano hasła do jednej ze skrzynek więc
wykonano szybki telefon do admina aby ten udzielił im tej
informacji - tu historia się urywa, zakończenie jej jest chyba łatwe
do przewidzenia
Analiza przykładu:
Nieprzeszkolony personel stanowi olbrzymie zagrożenie dla bezpieczeństwa
przedsiębiorstwa. Większości haseł nawet nie trzeba wykradać
"wystarczy o nie poprosić" (K. Mitnick - Łamałem ludzi
nie hasła), zwłaszcza jeżeli proszący wygląda bardzo przekonująco
z przyczepionym fałszywym identyfikatorem
Owe dwa przykłady mam nadzieję uświadomiły zagrożenie jakie
stwarzają pracownicy firmy lub przedsiębiorstwa. Większość
owych zagrożeń wynika jedynie z niewiedzy, więc należy dołożyć
wszelkich starań na odpowiednie wyszkolenie ludzi pracujących przy
komputerach, mających dostęp do istotnych informacji pod względem
bezpieczeństwa.
Inną sytuacją może być kiedy w przedsiębiorstwie znajdzie się
"domorosły informatyk", który nudząc się między
poszczególnymi zajęciami "bawi" się siecią i różnymi
programami. Niestety takie sytuacje zdarzają się stosunkowo często,
więc należy wystrzegać się ich uważnie. Jest kilka metod na
ustrzeżenie się przed szkodami wywołanymi przez takie osoby:
- dokładne monitorowanie operacji wykonywanych przez każdego z
pracowników
- ograniczenie uprawnień dostępowych do minimum
- stała kontrola sieci oraz stanu poszczególnych hostów
- prowadzenie stałego audytu na dodatkowych nośnikach danych
Oczywiście można by napisać jeszcze o wielu zagrożeniach dla
sieci korporacyjnej - począwszy od trzęsienia ziemi, a kończąc
na bombardowaniu, jednakże te kilka jakie zostały przeze mnie
wymienione są najistotniejsze. Administrując sieciami
korporacyjnymi należy przestrzegać kilku żelaznych zasad:
- kopie zapasowe ponad wszystko
- przekazywać jak najmniej informacji na temat infrastruktury sieci
- dokładnie przeszkolić personel
- każdy człowiek to potencjalny włamywacz pragnący jedynie
zniszczyć infrastrukturę sieciową
Mam nadzieję, że ten przydługi bądź co bądź tekst nie
zanudził Cię szanowny czytelniku na śmierć, pisząc go miałem
jednak na celu przedstawienie Ci kilki zagrożeń i "uroków"
bycia administratorem...