Bezpieczne sieci?

Nie istnieje 100-proc. zabezpieczenie dla sieci, nie ma takiego produktu - to teza główna, z którą zgodzili się wszyscy uczestnicy rzymskiego seminarium $Internet Security and Intelligent Networking for the Internet Data Center$.

Nie istnieje 100-proc. zabezpieczenie dla sieci, nie ma takiego produktu - to teza główna, z którą zgodzili się wszyscy uczestnicy spotkania, zorganizowanego przez firmę NetEvents dla europejskiej prasy sieciowej w Rzymie na początku grudnia, zatytułowanego Internet Security and Intelligent Networking for the Internet Data Center.

Nie tylko atak z 11 września 2001 spowodował, że zwiększa się zainteresowanie kwestiami zabezpieczania systemów teleinformatycznych. Jak wiadomo, globalna gospodarka światowa (także w wymiarze lokalnym) opiera się coraz bardziej na infrastrukturze teleinformatycznej. Trudno dzisiaj wyobrazić sobie funkcjonowanie banku, urzędu czy giełdy bez elektronicznej wymiany danych. Za pół roku zaczniemy w Polsce korzystać z podpisów cyfrowych.

Zobacz również:

Okazuje się jednak, że w wielu przypadkach systemy teleinformatyczne stoją otworem dla intruzów i pozostaje jeszcze wiele do zrobienia, aby skutecznie ochronić własne sieci i zasoby, które - jak wiadomo - muszą obecnie funkcjonować jako podłączone do gospodarki elektronicznej poprzez Internet. Przedstawiciele wiodących dostawców rozwiązań do zabezpieczania sieci komputerowych (w tym m.in. Computer Associates, Baltimore Technologies, Cisco Systems, RSA Security, Symantec, Nortel Networks, Nokia, Equiinet, BMC) oraz firm badawczych (NSS, Infonetics Research) przekonywali o tym oraz ostrzegali przed najnowszymi zagrożeniami podczas seminarium NetEvents.

Ponieważ istnieje wiele sposobów zakłócania pracy systemu komputerowego (i wciąż pojawiają się nowe!) lub wykradania danych, w zasadzie należy skoncentrować się na tym, aby maksymalnie zredukować liczbę zagrożeń, stosując zróżnicowane metody zabezpieczeń - zalecano podczas debaty o tym, jak zwalczać ataki typu DDOS (Distributed Denial of Service). Konieczne jest wypracowanie odpowiedniej własnej polityki - strategii bezpieczeństwa, dopasowanej do wielkości systemu, organizacji, liczby pracowników oraz charakteru prowadzonej działalności. Wskazane jest korzystanie z większości dostępnych tzw. reaktywnych środków, takich jak: zapory ogniowe, narzędzia do wykrywania włamań (IDS - Intrusion Detection Tools) do sieci, skanery, analizatory czy . Ważne jest też odnajdywanie słabych punktów w systemie, śledzenie ruchu w sieci, kontrola i skanowanie tego, co przychodzi z zewnątrz via e-mail (np. jednym z narzędzi jest - oferowany przez firmę Equiinet - NetPilot).

Zapewnienie pełnej widoczności tego, co się dzieje w sieci pozwala odpowiednio wcześnie rozpoznać zagrożenia i zareagować na ewentualne ataki lub włamania - przekonywał Edilberto Bottini z Systems. Ponieważ coraz częściej mamy w sieciach do czynienia z gigabitowymi szybkościami, konieczne jest dobranie odpowiednich narzędzi potrafiących analizować przemieszczające się szybko pakiety.

Przede wszystkim należy wiedzieć i określić jednoznacznie, które dane są dla nas kluczowe i wymagają szczególnej ochrony. Oceniając ich wartość dla nas, trzeba umieć przewidzieć, jakie byłyby konsekwencje i koszty ich utraty, po czym zestawić te szacunki z kwotami przeznaczonymi na zakup rozwiązań zabezpieczających. Trzeba odpowiedzieć sobie na pytanie, ile mogę za nie zapłacić, oraz przekalkulować, do jakiego pułapu wydatków to mi się opłaca. A skądinąd wiadomo, że nie da się obecnie odizolować od zewnętrznych kontaktów, gdyż wówczas zatraca się sens komunikacji i zakłócone zostają procesy biznesowe globalnej gospodarki.

David Love, szef ds. strategii bezpieczeństwa w firmie Computer Associates, podkreślał, że obecnie bezpieczeństwo to nie tylko domena i problem dotyczący szefów działów informatycznych. Zarządy firm i ich menedżerowie muszą być w pełni świadomi zagrożeń i wspólnie wykazywać maksimum zainteresowania kwestiami bezpieczeństwa, przyznając na nie konieczne środki.

W debacie poświęconej technologiom wirtualnych sieci prywatnych VPN (Virtual Private Networks), istniejącym od ponad 5 lat i wykorzystującym protokół IPsec (gwarantujący zaszyfrowaną identyfikację po obu stronach tunelu), zestawiono je z rozwiązaniami MPLS (Multi Protocol Label Switching), promowanymi przez producentów ruterów (Cisco i Juniper). Właśnie MPLS ma być protokołem, który pozwoli na konwergencję różnych technologii sieciowych, i ma stanowić właściwy krok w kierunku zagwarantowania QoS (Quality of Service), choć część panelistów zwracała z drugiej strony uwagę, iż nie jest on dostatecznie bezpieczny. Przedstawicielka firmy Nortel Networks, Micheline Germanos, dyrektor marketingu działu Inteligentny Internet, starała się godzić przeciwstawne obozy zwolenników VPN i MPLS, uważając, że oba rozwiązania stosowane razem stają się kluczowe przy korzystaniu z nowych aplikacji i usług w sieciach następnej generacji.

Niewesoło, żeby nie powiedzieć dramatycznie, przedstawia się sytuacja zabezpieczeń w przypadku bezprzewodowych sieci , czego dobitnie dowiedli Jan Guldentops, dyrektor Better Access Labs z Belgii, oraz firma RSA Security, prezentujący wyniki swoich badań. Otóż okazuje się, że bezprzewodowe sieci lokalne na razie pozostają niemal otwarte na ingerencje z zewnątrz lub podglądanie ich zawartości. Eksperyment przeprowadzony w Brukseli pokazał, że można było wejść nieproszonym do ok. 80 proc. namierzonych sieci bezprzewodowych! Podobnie niepokojące rezultaty uzyskali w Londynie badający z firm RSA Security i Orthus - w 67 proc. sieci nie zastosowano szyfrowania.

Aby sieci bezprzewodowe uczynić niewidzialnymi, należy przede wszystkim zabezpieczać punkty dostępowe i węzły sieci oraz stosować odpowiednie anteny - radził Jan Guldentops. Jednocześnie ostrzegł, że stosunkowo łatwe do sforsowania są sieci oparte na WAP.

Jeszcze inna kwestia (związana także z bezpieczeństwem, lecz o charakterze bardziej uniwersalnym), na którą zwrócono uwagę, to zagrożenie związane z prywatnością użytkownika urządzeń przenośnych. Nie można zapominać, że np. możliwość lokalizowania rozmawiającego przez telefon GSM to nic innego, jak atak na jego prywatność. Oczywiście wszystko zależy od intencji wykorzystującego taką wiedzę.