Komputery pod szczególnym nadzorem

Bardzo ważną zasadą jest kontrolowanie ruchu przechodzącego na styku sieci lokalnej i Internetu. Standardowa zapora sieciowa filtrująca ruch na podstawie adresów IP i portów już od dawna nie wystarczy. Jest bardzo skutecznym narzędziem umożliwiającym odfiltrowanie części najbardziej niepożądanego ruchu (np. działa na część sieci peer-to-peer), ale nie potrafi sobie poradzić z zagrożeniami typowymi dla dzisiejszych ataków. Kilka reguł, które rządziły ustawieniami zapór, jest ważnych także i dziś.

Najważniejszą z nich jest zasada domyślnego blokowania połączeń i odblokowywania jedynie tych, które są pożądane. Drugą ważną regułą jest niewpuszczanie ruchu przychodzącego bezpośrednio do sieci lokalnej firmy. Do tego celu ma służyć wyłącznie DMZ. Umieszczenie serwera, do którego przychodzi ruch z Internetu w tej samej podsieci, co reszta maszyn, grozi kompromitacją całej sieci firmowej. Niestety jest to możliwe także przez amatora, w sposób zdalny i automatyczny (na przykład przy mocno nieaktualnych systemach operacyjnych i aplikacjach w firmie). Znane były przypadki kompromitacji całej sieci dość dużej firmy przez jeden nieaktualizowany przez kilka miesięcy serwer WWW. To potrafią zrobić nawet amatorzy, przy użyciu gotowych narzędzi, jeśli serwer nie jest w ogóle aktualizowany.

Ruch związany z przeglądaniem Internetu musi odbywać się przy użyciu serwera pośredniczącego (proxy). Dzięki zablokowaniu bezpośredniego połączenia do Internetu na porcie 80, można odfiltrować bardzo wiele niepożądanego ruchu. Przeglądanie stron WWW powinno się odbywać za pomocą proxy, najlepiej zabezpieczonego za pomocą hasła.

Bardzo wiele ruchu generowanego przez malware odbywa się na porcie 443, przy szyfrowaniu za pomocą SSL. Należy zablokować całkowicie ruch SSL i odblokowywać go jedynie do wybranych serwerów. Jeśli firma zezwala na przeglądanie Internetu przez pracowników, należy uzgodnić z nimi sposób zgłaszania potrzebnego im adresu SSL, by go selektywnie odblokowywać. Dzięki tak restrykcyjnym zasadom, ruch pomiędzy zarażonymi przez malware stacjami roboczymi a zarządzającymi botnetem serwerami będzie łatwy do wykrycia. Jeśli współpraca między informatykami a pracownikami jest dobrze uregulowana, bardzo prędko zostaną ustalone wszystkie niezbędne adresy wymagające połączenia SSL i bezpieczeństwo firmy na tym nie ucierpi.

Należy zablokować całkowicie ruch od stacji roboczych do zewnętrznych serwerów DNS. Odpytania DNS mogą być realizowane tylko przez firmowy serwer DNS, w którym należy zastosować reguły dotyczące filtrowania adresów.

Jeśli firma posiada serwer pocztowy we własnej sieci, należy zablokować wszystkie połączenia związane z pocztą elektroniczną między stacjami roboczymi a Internetem. Wysyłać maile może tylko serwer pocztowy. Jeśli w sieci lokalnej nie ma serwera pocztowego (co jest możliwe, gdy firma jest bardzo mała i wystarczy jej zewnętrzny serwer u dostawcy usług), należy zablokować połączenia od stacji roboczych i serwerów do innych serwerów poczty elektronicznej niż ten, z którego firma korzysta. Taka konfiguracja skutecznie uniemożliwi wysyłanie spamu przez zarażone maszyny. W razie infekcji, firma nie stanie się źródłem spamu. Jeśli firma zezwala pracownikom na korzystanie z prywatnej poczty elektronicznej, mogą to wykonać za pomocą przeglądarki, przez WWW.

Ruch WWW, nawet jeśli podlega ograniczeniom wymuszanym na serwerze pośredniczącym, nie zawsze podlega stosownej inspekcji. Niektóre programy uznawane za niepożądane (na przykład Skype) potrafią wykraść dane autoryzacyjne do serwera proxy i z nich skorzystać, zatem należy zapewnić jeszcze jeden mechanizm kontroli ruchu. Jest nim IPS, który włączony pomiędzy siecią lokalną a Internetem będzie mógł zapobiegać niepożądanym połączeniom. Rola IPS wykracza znacznie dalej, gdyż wiele z nich posiada bardzo sprawny mechanizm aktualizacji, dzięki czemu mogą zapobiegać atakom zanim jeszcze producent systemów operacyjnych czy oprogramowania wyda odpowiednie aktualizacje. Dobre IPS-y posiadają zestaw reguł, które umożliwiają blokowanie całych kategorii ruchu lub ataków, ułatwiając dzięki temu pracę administratorom.