Małe firmy tylko z pozoru nie mają potrzeby zabezpieczania swoich sieci. W ich przypadku nawet drobne kłopoty to duży problem.

Zabezpieczenie sieci na styku z Internetem to pierwszy i zarazem bardzo ważny ruch do wykonania - sprawna zapora skutecznie odetnie amatorskie próby włamania. Zabezpieczanie sieci od strony Internetu ma duże znaczenie, ponieważ włamanie tą drogą nie wymaga od hakerów wielkiego wysiłku - nie trzeba fizycznie się pojawiać w siedzibie firmy, nie trzeba stosować sztuczek socjotechnicznych itd.

Mur przeciw atakom

Wbrew powszechnemu mniemaniu zabezpieczenie przed włamaniem z Internetu jest stosunkowo proste. Mała firma rzadko kiedy musi udostępniać jakiekolwiek usługi światu. Jeśli ma stronę WWW oraz pocztę elektroniczną, to zapewne nie na własnym serwerze, ale u dostawcy Internetu. Można więc śmiało założyć, że połączenia przychodzące można w ogóle zablokować, do czego wystarczy tania zapora (firewall) w cenie ok. 300 zł. Oczywiście, potrzebny będzie ktoś, kto taką zaporę umiejętnie skonfiguruje.

Niezależnie od zapory należałoby też bezwzględnie zrezygnować z udostępniania łącza za pomocą mechanizmów systemu Windows. Jeśli administrator zna się na systemach typu Unix, takich jak Linux czy BSD, zaporą, i to bardzo dobrą, może być stary komputer z procesorem Pentium 200 MHz. W wielu przypadkach zalety rozwiązania sprzętowego przeważają nad wadami - nie każdy czuje się na siłach zabezpieczać komputery bezpośrednio dostępne z Internetu. Tym bardziej że rozwiązania firm, takich jak D-Link czy Linksys, kosztują niewiele, oferując wygodny interfejs i funkcjonalność, której jeszcze kilka lat temu nie powstydziłaby się duża firma.

Dobra zapora dla małej firmy powinna posiadać następujące opcje:

• blokowanie i przepuszczanie połączeń według reguł (skąd, dokąd, na którym porcie, poprzez który interfejs);
• gotowe, predefiniowane regułki blokujące połączenia typowe dla ataków sieciowych (np. połączenia z Internetu na usługi systemów Windows);
• możliwość zarządzania przez przeglądarkę oraz telnet, powinna być możliwa aktualizacja firmware przez administratora bez konieczności korzystania z serwisu;
• zapis logów w standardowym formacie tekstowym;
• filtrowanie obiektów typu ActiveX, Flash, skryptów i apletów Java.

Nie znaczy to, że należy ze wszystkich tych możliwości natychmiast korzystać, niemniej w pewnych przypadkach lepiej doraźnie wyłączyć możliwość korzystania z ActiveX i skryptów, niż być narażonym na ataki. Lista pożądanych funkcji zapory jest oczywiście dłuższa. Można jeszcze wskazać następujące:

• listy dostępowe (ACL) dotyczące blokady obiektów (czarna lista, biała lista);
• integracja z bramką VPN (na potrzeby administratora);
• opcje ułatwiające zdalny dostęp, mianowicie wprowadzanie zmian w konfiguracji, tak by wymagać ponownego zalogowania w ciągu ustalonego czasu (np. 1 min). Gdyby administrator nie zalogował się ponownie, np. dlatego że restrykcyjne ustawienia zapory zablokowały mu dostęp, system przywróci poprzednią konfigurację;
• przekazanie portów (port forwarding). Najbardziej elastyczna konfiguracja umożliwia przekazanie dowolnego portu na zewnętrznym interfejsie na dowolny (także inny od zewnętrznego) port wybranego adresu IP wewnątrz sieci LAN.

Instalacja zapory o takiej funkcjonalności bardzo ułatwi pracę w sieci lokalnej, ponieważ wszystkie komputery będą miały łatwy dostęp do Internetu, nie trzeba będzie o jeden z nich dbać w sposób szczególny. Nie będzie problemu kolejności włączania komputerów (komputer udostępniający Internet trzeba by uruchamiać jako pierwszy lub w ogóle go nie wyłączać.

Ukrycie wszystkich urządzeń (komputery, serwery wydruku itd.) za zaporą znacząco podwyższa bezpieczeństwo.

Odciąć dostęp

W tak małej firmie stosowanie serwera Windows, jakkolwiek możliwe, nie jest jedyną opcją. Całkiem realną alternatywę na serwerze stanowi obecnie system Linux, którego współczesne dystrybucje są znacznie łatwiejsze w obsłudze i administracji niż kilka lat temu. Wśród szerokiej oferty sprzętu można znaleźć gotowe rozwiązania będące serwerami plików opartymi na systemie Linux, a przeznaczone właśnie dla małych firm. Sprzęt taki jest zwykle dla użytkownika bezobsługową "czarną skrzynką".

Zarządzanie takim urządzeniem odbywa się za pomocą przeglądarki, jest proste, podobnie jak proste są usługi świadczone przez taki sprzęt. Można spotkać nawet urządzenia wyposażone w napęd taśmowy służący do wykonywania kopii danych. Jeśli firma nie chce wydać pieniędzy na pełnoetatowego informatyka, "czarna skrzynka" to najlepsze rozwiązanie - znacznie lepsze niż "normalnie" instalowany Linux, a już na pewno niż serwer Windows. Podobnie można uczynić z serwerem wydruków - wiele"czarnych skrzynek" posiada również tę funkcjonalność. Można jednak kupić oddzielny serwer wydruków, który wydajnie obsłuży wiele drukarek - to wydatek rzędu 300 zł. Warto o tym pomyśleć przed zakupem drukarki. Być może najlepszym rozwiązaniem jest zakup drukarki posiadającej własny interfejs sieciowy i wbudowany serwer wydruków - to gwarantuje brak problemów i dodatkowych kosztów.

Sieć przefiltrowana

Program antywirusowy jest niezbędny dla zapewnienia choćby minimalnego poziomu bezpieczeństwa firmowej sieci, ale nie należy ślepo wierzyć poradom sprzedawców, którzy nawet małej firmie (5-10 komputerów) radzą zakładać repozytorium, niepotrzebnie podnosząc jej koszty. W praktyce jednostanowiskowe wersje systemów antywirusowych sprawdzają się w sieciach liczących nawet kilkadziesiąt komputerów.

Wybór programu jest w zasadzie dowolny, najlepiej wybrać taki, który jest zintegrowany z zaporą sieciową i systemem wykrywania nieznanych zagrożeń (moduł heurystyczny lub analizy behawioralnej). Dzięki temu bezpieczeństwo sieci na pewno się poprawi. Najkorzystniej ustawić program, tak by działał całkowicie w tle, nie informując użytkowników o niczym z wyjątkiem być może krytycznych błędów oraz wykryciu i unieszkodliwieniu wirusa. Warto skorzystać z funkcji alarmowania administratora za pomocą poczty elektronicznej.

Przy okazji rozprawiania się z problemem wirusów, warto uniemożliwić użytkownikom korzystanie z przeglądarki Internet Explorer. Luki w jej zabezpieczeniach są wciąż najpoważniejszym źródłem zagrożeń dla sieci, którym najlepsze nawet zapory sieciowe i systemy antywirusowe nie zawsze zapobiegną. Istnieje wiele przeglądarek alternatywnych - wiele z nich opisywaliśmy na łamach Computerworld. Wypadałoby także zrezygnować z oprogramowania Outlook Express - tutaj produkty alternatywne są od dawna dużo bezpieczniejsze. Programy antywirusowe potrafią współpracować z każdym programem pocztowym.

Razem z programem antywirusowym należy poważnie przemyśleć ograniczenie uprawnień użytkownikom do niezbędnego minimum.

Nie oznacza to wcale ograniczenia możliwości ich pracy, lecz uniemożliwienie im działań narażających na szwank system operacyjny, a być może nawet całą firmową sieć. Większości użytkowników uprawnienia lokalnego administratora nie są do niczego potrzebne, a związane z nimi problemy są rozliczne. Dla specjalnych zadań, takich jak nagrywanie płyt, można posłużyć się programem Nero Burn Rights, który daje możliwość nagrywania płyt użytkownikom niemającym uprawnień systemowych. Warto zablokować dostęp do niektórych części panelu sterowania za pomocą wpisów polis w rejestrze. Pliki *.REG bardzo łatwo przygotować, a potem można je standardowo aplikować, minimalizując ryzyko pomyłki.