Najczęściej zakładany model włamania do komputerów firmy przewiduje, że włamywacz przyjdzie z zewnątrz. Równie niebezpieczny może być atak "od środka".

Wydaje się, że translacja adresów IP (NAT) w połączeniu z dobrym firewallem, pracującym na styku sieci firmowej z Internetem, należycie chroni przed zagrożeniami. Administratorzy zapominają, że najczęściej do poufnych danych próbują się dostać nieuprawnieni użytkownicy zatrudnieni w danej firmie, którzy, by osiągnąć cel, wcale nie muszą pokonywać firewalla. Możliwość swobodnego przemieszczania się po firmie i uruchamiania komputerów ułatwiają nieuczciwym pracownikom dostęp do danych. Czy możliwe jest zabezpieczenie sieci lokalnych przed takimi nadużyciami? Całkowicie " nie, ale warto powziąć kroki umożliwiające pełniejszą ochronę informacji.

Na początek - lokalnie

Najłatwiej jest pracownikowi uzyskać dostęp do danych, przechowywanych lokalnie na dyskach komputerów innych użytkowników. Z tym problemem można sobie radzić na dwa sposoby: wprowadzając mecha- nizmy gwarantujące przechowywanie danych wyłącznie na dobrze zabezpieczonych serwerach lub też szyfrując zawar- tość lokalnego dysku twardego, tak by była ona dostępna wyłącznie po zalogowaniu autoryzo-wanego użytkownika. Pierwszy sposób pozwala znacznie lepiej zabezpieczyć dane przechowywane centralnie, ale powoduje, że wzrasta ruch w sieci (wszystkie dane są każdorazowo pobierane z serwera). Dlatego drugie rozwiązanie, mimo rozproszenia informacji, wydaje się atrakcyjniejsze. Oferują je pod nazwą Encrypted File System (EFS) m.in. systemy Windows 2000 i XP.

W obu przypadkach istotne jest jednak, aby dostęp do konta, czy to sieciowego czy lokalnego, był zabezpieczony dobrym hasłem. Dobrym, tzn. takim, które odporne jest na próby słownikowego łamania (nie zawiera pełnych wyrazów, ale zawiera cyfry i niestandardowe znaki, np. przecinki). W praktyce wymuszenie na użytkownikach stosowania "silnych" haseł i okresowej ich zmiany nie powoduje znaczącego wzrostu bezpieczeństwa. Niejednokrotnie bowiem zdarza się, że użytkownicy zapisują hasła i zostawiają karteczki przy komputerze lub po prostu je zapominają.

Rozwiązaniem problemu haseł może być zastosowanie technologii biometrycznych do identyfikacji użytkowników lub systemu kart chipowych bądź tokenów. Wybór rozwiązania zależy od zakresu zastosowań technologii identyfikacji oraz sposobu pracy użytkowników (mobilnie czy lokalnie, jeden czy wielu użytkowników na jednym komputerze, z możliwością zdalnego dostępu modemowego i VPN czy nie). Odcisk kciuka zamiast hasła może skutecznie zabezpieczyć komputer przed nie autoryzowanym dostępem, a jednocześnie ten sam odcisk może być z powodzeniem wykorzystany zarówno do logowania do komputera, jak i szyfrowania dysku, dostępu do serwisów internetowych itp.

Nowe systemy operacyjne oferują wsparcie różnego rodzaju zewnętrznych metod identyfikacji użytkowników. Wspiera je również serwerowa wersja Windows 2000 i NetWare 6.

Na styku z siecią

Zabezpieczenie fizycznego dostępu do komputera to nie wszystko " konieczne jest jeszcze zapewnienie bezpiecznego dostępu użytkownika do serwerów za pośrednictwem sieci. Zabezpieczenie dostępu to jedno, a ochrona lokalnych zasobów stacji przed atakami z sieci to drugie. Warto tak skonfigurować firmowe komputery, aby niemożliwe było dostanie się do nich z zewnątrz przez sieć. W typowych firmowych zastosowaniach bezpośrednia wymiana plików między użytkownikami jest zbędna, a co za tym idzie nie ma powodu, by pojedyncze komputery udostępniały swoje zasoby. Zabezpieczenie takie najłatwiej osiągnąć, instalując lokalne firewalle, działające na komputerach, które będą uniemożliwiać realizowanie komunikacji nie zainicjowanej wcześniej przez użytkownika danego komputera. W szczególności konieczne jest "zamknięcie" najbardziej krytycznych portów TCP komputerów z systemem Windows, odpowiadających za obsługę usług NetBIOS SMB (port 137).

Niemałym wyzwaniem jest zabezpieczenie komunikacji w ramach sieci lokalnej w taki sposób, by przesyłanych między komputerem użytkownika a serwerem danych nie udało się podejrzeć (przechwycić komunikację w sieci jest względnie łatwo, ale jeśli jest ona zaszyfrowana, wykorzystanie danych jest bardzo utrudnione, a nawet niemożliwe). Chociaż jest ono rzadko stosowane, to warto wiedzieć, że zabez- pieczenie takie jest możliwe do zrealizowania " szczególnie w działach korzystających z najistotniejszych dla funk- cjonowania firmy danych (np. księgowych). Możliwe jest też zainstalowanie w firmie firewalla, który będzie oddzielać krytyczne serwery od sieci lokalnej, w której pracują użytkownicy, i za jego pośrednictwem nawiązywanie szyfro- wanych połączeń VPN między komputerem użytkownika a serwerem VPN, pracującym za firewallem. W takim przypad- ku komunikacja byłaby zaszyfrowana między konkretnym klientem a serwerem VPN. Jednocześnie byłaby ona odszyfrowana między serwerem VPN a docelowym serwerem, ale gdyby obydwa te serwery pracowały za firewallem, to nie autoryzowani użytkownicy nie mogliby się dostać do odszyfrowanych pakietów. Jedynymi otwartymi na firewallu portami mogłyby być te przeznaczone do komunikacji VPN z serwerem VPN.

Diagnoza i dokumentacja

Dla zapewnienia bezpiecznego środowiska pracy istotne jest również stałe monitorowanie bezpieczeństwa i to zarówno sieci jako całości, jak i pojedynczych, krytycznych serwerów. Do kompleksowej realizacji tego zadania konieczne jest zakupienie systemu wykrywania włamań " IDS (Intrusion Detection System).

Rozwiązania takie są dostarczane przez wiele firm. Składają się one zazwyczaj z kilku elementów: sond instalowanych na komputerach, sond monitorujących pracę sieci i scentralizowanej konsoli. Sondy instalowane na komputerach (zazwyczaj na serwerach) monitorują bezpieczeństwo wyłącznie tych komputerów: rejestrują one nadchodzące połączenia sieciowe, analizują logi kluczowych aplikacji itp. Sondy przeznaczo- ne do monitorowania transmisji sieciowych są instalowane w formie oprogramowania na przeznaczonych do tego celu komputerach lub w postaci dedykowanych urządzeń, których jedynym zadaniem jest analiza przesyłanych w danym segmencie sieciowym pakietów. Jeśli określone transmisje wzbudzają zastrzeżenia sondy (naruszają ustaloną wcześniej politykę bezpieczeństwa), to informacja o tym fakcie jest przekazywana do centralnej konsoli. Koreluje ona nadsyłane informacje i prezentuje je w skondensowanej formie administratorowi.

Najbardziej zaawansowane systemy IDS mogą nie tylko poinformować o potencjalnym naruszeniu bezpieczeństwa, ale również w zautomatyzowany, wcześniej określony sposób odpowiadać na takie zdarzenia. Przykładowo: jeśli system IDS potrafi komunikować się z firewallem firmowym i firewallami pracującymi na pojedynczych komputerach i serwerach, może zmodyfi- kować ich listy dostępowe, uniemożliwiając dostęp włamywaczowi.

Sprawdź się sam

IDS to forma pasywnego oczekiwania na włamanie. Można również podjąć działania, które będą miały na celu bieżące "łatanie" dziur w bezpieczeństwie systemów informatycznych w miarę pojawiania się nowych sposobów ataku. Pomóc w tym mogą narzędzia zbliżone do tych stosowanych przez włamywaczy i umożliwiające przeprowadzanie kontrolowanych ataków, które mają na celu wcześniejsze wskazanie i wypunktowanie zagrożeń.

Do tego celu służą tzw. skanery bezpieczeństwa " aplikacje wyposażone w obszerną wiedzę o lukach w systemach zabezpieczeń popularnych systemów operacyjnych i aplikacji i potrafiące dokonywać szczegółowego "skanowania" komputerów i serwerów, próbując nawiązać nie autoryzowaną sesję. Każdorazowo aplikacja taka generuje obszerny raport, dotyczący swojej pracy i sugerujący zmiany w konfiguracji systemów i aplikacji, które zminimalizują zagrożenie penetracją przez włamywaczy.

Coraz częściej producenci tego typu pakietów oferują również usługi okresowej kontroli bezpieczeństwa na zasadach outsourcingu, co może być atrakcyjną propozycją dla firm, chcących uniknąć zakupu drogich skanerów (cena liczona w dziesiątkach lub tysiącach setek dolarów).