Polityka japońskiego koncernu motoryzacyjnego Isuzu Motors Limited umożliwia oddziałom tej firmy dostęp do Internetu z wykorzystaniem łączy lokalnych. Firma wymaga jednak, aby styk z Internetem był dobrze zabezpieczony. Nie ominęło to również Isuzu Motors Polska sp. z o.o. w Tychach, która chroni swoją sieć za pomcą firewalla i serwera proxy.

Isuzu Motors Polska wykorzystuje kombinację serwera firewall i proxy w dwóch celach. Jednym jest zabezpieczenie sieci wewnętrznej przed dostępem nie autoryzowanych użytkowników Internetu, drugim - ograniczanie dostępu do Internetu dla pracowników firmy. Chociaż Isuzu stosuje dwustopniową ochronę sieci korporacyjnej, to w rzeczywistości nie wykorzystuje tzw. strefy zdemilitaryzowanej (DMZ). Firma nie ma takiej potrzeby, gdyż nie udostępnia w Internecie serwisów komercyjnych.

Firewall musi być

Realizacja nowego systemu informatycznego Isuzu Motors Polska rozpoczęła się w 1998 r. Wtedy to firma wybudowała nowy budynek, a wraz z nim stworzyła sieć komputerową połączoną w ramach sieci rozległej z innym oddziałem Isuzu, a także lokalnie z Internetem. "Korporacja każdemu oddziałowi firmy stawia to samo wymaganie - dostęp do Internetu musi być zabezpieczony firewallem" - mówi Jakub Borowczyk, kierownik działu informatyki Isuzu Motors Polska w Tychach. Centrala nie narzucała jednak konkretnego rozwiązania, pozostawiając decyzję lokalnym informatykom.

"Takie postawienie sprawy dawało nam swobodę wyboru rozwiązania adekwatnego do naszych potrzeb, ale jednocześnie nakładało dużą odpowiedzialność. Mam bowiem świadomość, że błąd w ochronie popełniony u nas może mieć reperkusje dla całej korporacji" - stwierdza Jakub Borowczyk. Firma stosuje firewalle na styku z Internetem, ale nie chroni już nimi sieci lokalnych na styku z siecią rozległą. Zamiast tego na routerach sieci WAN stosowane są translacja adresów IP (NAT) wraz z filtrowaniem pakietów.

Kryteria wyboru

Docelowe rozwiązanie firewall wybrane przez Isuzu Motor Poland musiało spełniać kilka kluczowych kryteriów. "Przede wszystkim wymagaliśmy od niego odzwierciedlenia polityki bezpieczeństwa naszej firmy" - mówi Jakub Borowczyk. W Isuzu wyróżnia się bowiem kilka grup użytkowników o zróżnicowanych prawach dostępu do Internetu (część z nich nie ma dostępu, część ma dostęp ograniczony wyłącznie do poczty elektronicznej SMTP, część może dodatkowo korzystać z WWW, a administratorzy mają pełny dostęp do wszystkich usług Internetu) i firewall powinien umożliwiać przydzielanie dostępu w zależności od użytkownika lub grupy, do której należy.

"Kolejnym istotnym wymaganiem było to, aby konkretne rozwiązanie firewall było oparte na sprawdzonej technologii, najlepiej takiej, która ma certyfikaty bezpieczeństwa TTAP, NSA lub CERT" - zauważa Jakub Borowczyk. W pewnej sprzeczności z nim pozostawało ostatnie kryterium wyboru rozwiązania. "Wyszedłem też z założenia, że im bardziej nietypowe rozwiązanie, tym bezpieczniejsze" - dodaje.

W roku 1998, kiedy dokonywano wyboru rozwiązania zapory ogniowej, rozważano produkty firm AltaVista, Check Point, Cisco i IBM. Większość z nich została wyeliminowana ze względu na pracę na konkretnych platformach systemowych. "Utrzymanie firewalli pracujących np. na platformie Windows NT wymaga pełnego zaufania w zakresie bezpieczeństwa tego systemu operacyjnego. Jeśli jednak bezpieczeństwo systemu jest niepewne, to trudno wymagać gwarancji bezpieczeństwa od firewalla związanego z daną platformą" - stwierdza Jakub Borowczyk.

Jednakże wybór rozwiązania pracującego na platformie np. Windows NT czy Unix ograniczał fakt, że systemy te są dosyć typowe, popularne i dobrze rozpoznawane przez włamywaczy. "Dlatego też tak bardzo poszukiwałem rozwiązania nietypowego. Ostatecznie zdecydowałem się zastosować Cisco PIX Firewall pracujący pod kontrolą względnie mało rozpoznanego, a z drugiej strony bardzo solidnego systemu operacyjnego Cisco IOS" - wyjaśnia Jakub Borowczyk.

Podwójna ochrona

Zastosowanie firewalla Cisco nie umożliwiało jednak spełnienia w prosty sposób jednego z podstawowych wymagań - kontrolowania nie tylko ruchu z Internetu, ale także komunikacji z Internetem pracowników firmy. "W naszej sieci stosujemy automatyczne przyznawanie numerów IP stacjom roboczym za pośrednictwem serwera DHCP. Nie jest więc możliwe związanie na sztywno numeru IP z dostępnym zakresem usług internetowych" - podkreśla Jakub Borowczyk.

Aby rozwiązać ten problem, Isuzu Motors Poland zastosowała dodatkowy serwer wyposażony w dwie karty sieciowe oraz oprogramowanie typu proxy. Stanowi on dodatkową linię ochrony między serwerem firewall a siecią lokalną. Serwer proxy poza buforowaniem transmisji internetowych ma jeszcze jedną ważną zaletę - pozwala określić, którzy z użytkowników domeny Windows NT są uprawnieni do realizowania komunikacji za jego pośrednictwem. Pozwala również sprecyzować, jakiego typu może być ta komunikacja, tzn. po których portach TCP, UDP lub IP wolno będzie przesyłać dane użytkownikowi.

Rozterki administratora

Mimo stosowania dwustopniowego zabezpieczenia sieci firmowej, Jakub Borowczyk zauważa jednak, że nie ma idealnego firewalla. "W zasadzie można by zastosować nawet dziesięć zapór ogniowych, działających kaskadowo, a i tak nie zagwarantowałoby to, że do sieci nie przedostanie się włamywacz. Na pokonanie każdej z zapór intruz potrzebuje jednak czasu, co pozwala administratorom wykryć atak i podjąć stosowne kroki zaradcze" - mówi Jakub Borowczyk.

Informatycy Isuzu Motors Poland planują rozszerzenie posiadanego rozwiązania o możliwość kontrolowania danych przesyłanych przez firewall i filtrowania zawartości transmisji. Obecnie firma nie wykorzystuje dodatkowych aplikacji, które wzbogacałyby funkcjonalność Cisco PIX Firewall.