Praca w bezpiecznych warunkach
- Michał Szafrański,
- 26.11.2001
Najczęściej zakładany model włamania do komputerów firmy przewiduje, że włamywacz przyjdzie z zewnątrz. Równie niebezpieczny może być atak "od środka".
Najczęściej zakładany model włamania do komputerów firmy przewiduje, że włamywacz przyjdzie z zewnątrz. Równie niebezpieczny może być atak "od środka".
Wydaje się, że translacja adresów IP (NAT) w połączeniu z dobrym firewallem, pracującym na styku sieci firmowej z Internetem, należycie chroni przed zagrożeniami. Administratorzy zapominają, że najczęściej do poufnych danych próbują się dostać nieuprawnieni użytkownicy zatrudnieni w danej firmie, którzy, by osiągnąć cel, wcale nie muszą pokonywać firewalla. Możliwość swobodnego przemieszczania się po firmie i uruchamiania komputerów ułatwiają nieuczciwym pracownikom dostęp do danych. Czy możliwe jest zabezpieczenie sieci lokalnych przed takimi nadużyciami? Całkowicie " nie, ale warto powziąć kroki umożliwiające pełniejszą ochronę informacji.
Na początek - lokalnie
Najłatwiej jest pracownikowi uzyskać dostęp do danych, przechowywanych lokalnie na dyskach komputerów innych użytkowników. Z tym problemem można sobie radzić na dwa sposoby: wprowadzając mecha- nizmy gwarantujące przechowywanie danych wyłącznie na dobrze zabezpieczonych serwerach lub też szyfrując zawar- tość lokalnego dysku twardego, tak by była ona dostępna wyłącznie po zalogowaniu autoryzo-wanego użytkownika. Pierwszy sposób pozwala znacznie lepiej zabezpieczyć dane przechowywane centralnie, ale powoduje, że wzrasta ruch w sieci (wszystkie dane są każdorazowo pobierane z serwera). Dlatego drugie rozwiązanie, mimo rozproszenia informacji, wydaje się atrakcyjniejsze. Oferują je pod nazwą Encrypted File System (EFS) m.in. systemy Windows 2000 i XP.
Rozwiązaniem problemu haseł może być zastosowanie technologii biometrycznych do identyfikacji użytkowników lub systemu kart chipowych bądź tokenów. Wybór rozwiązania zależy od zakresu zastosowań technologii identyfikacji oraz sposobu pracy użytkowników (mobilnie czy lokalnie, jeden czy wielu użytkowników na jednym komputerze, z możliwością zdalnego dostępu modemowego i VPN czy nie). Odcisk kciuka zamiast hasła może skutecznie zabezpieczyć komputer przed nie autoryzowanym dostępem, a jednocześnie ten sam odcisk może być z powodzeniem wykorzystany zarówno do logowania do komputera, jak i szyfrowania dysku, dostępu do serwisów internetowych itp.
Nowe systemy operacyjne oferują wsparcie różnego rodzaju zewnętrznych metod identyfikacji użytkowników. Wspiera je również serwerowa wersja Windows 2000 i NetWare 6.
Na styku z siecią
Zabezpieczenie fizycznego dostępu do komputera to nie wszystko " konieczne jest jeszcze zapewnienie bezpiecznego dostępu użytkownika do serwerów za pośrednictwem sieci. Zabezpieczenie dostępu to jedno, a ochrona lokalnych zasobów stacji przed atakami z sieci to drugie. Warto tak skonfigurować firmowe komputery, aby niemożliwe było dostanie się do nich z zewnątrz przez sieć. W typowych firmowych zastosowaniach bezpośrednia wymiana plików między użytkownikami jest zbędna, a co za tym idzie nie ma powodu, by pojedyncze komputery udostępniały swoje zasoby. Zabezpieczenie takie najłatwiej osiągnąć, instalując lokalne firewalle, działające na komputerach, które będą uniemożliwiać realizowanie komunikacji nie zainicjowanej wcześniej przez użytkownika danego komputera. W szczególności konieczne jest "zamknięcie" najbardziej krytycznych portów TCP komputerów z systemem Windows, odpowiadających za obsługę usług NetBIOS SMB (port 137).
Diagnoza i dokumentacja
Dla zapewnienia bezpiecznego środowiska pracy istotne jest również stałe monitorowanie bezpieczeństwa i to zarówno sieci jako całości, jak i pojedynczych, krytycznych serwerów. Do kompleksowej realizacji tego zadania konieczne jest zakupienie systemu wykrywania włamań " IDS (Intrusion Detection System).
Rozwiązania takie są dostarczane przez wiele firm. Składają się one zazwyczaj z kilku elementów: sond instalowanych na komputerach, sond monitorujących pracę sieci i scentralizowanej konsoli. Sondy instalowane na komputerach (zazwyczaj na serwerach) monitorują bezpieczeństwo wyłącznie tych komputerów: rejestrują one nadchodzące połączenia sieciowe, analizują logi kluczowych aplikacji itp. Sondy przeznaczo- ne do monitorowania transmisji sieciowych są instalowane w formie oprogramowania na przeznaczonych do tego celu komputerach lub w postaci dedykowanych urządzeń, których jedynym zadaniem jest analiza przesyłanych w danym segmencie sieciowym pakietów. Jeśli określone transmisje wzbudzają zastrzeżenia sondy (naruszają ustaloną wcześniej politykę bezpieczeństwa), to informacja o tym fakcie jest przekazywana do centralnej konsoli. Koreluje ona nadsyłane informacje i prezentuje je w skondensowanej formie administratorowi.
Najbardziej zaawansowane systemy IDS mogą nie tylko poinformować o potencjalnym naruszeniu bezpieczeństwa, ale również w zautomatyzowany, wcześniej określony sposób odpowiadać na takie zdarzenia. Przykładowo: jeśli system IDS potrafi komunikować się z firewallem firmowym i firewallami pracującymi na pojedynczych komputerach i serwerach, może zmodyfi- kować ich listy dostępowe, uniemożliwiając dostęp włamywaczowi.
Sprawdź się sam
Do tego celu służą tzw. skanery bezpieczeństwa " aplikacje wyposażone w obszerną wiedzę o lukach w systemach zabezpieczeń popularnych systemów operacyjnych i aplikacji i potrafiące dokonywać szczegółowego "skanowania" komputerów i serwerów, próbując nawiązać nie autoryzowaną sesję. Każdorazowo aplikacja taka generuje obszerny raport, dotyczący swojej pracy i sugerujący zmiany w konfiguracji systemów i aplikacji, które zminimalizują zagrożenie penetracją przez włamywaczy.
Coraz częściej producenci tego typu pakietów oferują również usługi okresowej kontroli bezpieczeństwa na zasadach outsourcingu, co może być atrakcyjną propozycją dla firm, chcących uniknąć zakupu drogich skanerów (cena liczona w dziesiątkach lub tysiącach setek dolarów).