Inspekcja, detekcja, protekcja
- Michał Szafrański,
- 24.06.2002
Kroki, które należy podjąć, by zabezpieczyć przełączniki sieciowe przed nie autoryzowanym dostępem, zestawianiem połączeń i wykorzystaniem ich do ataków:
<div align="right">Źródło: Cisco Systems</div>
Sieć zarządzania powinna korzystać z własnego przedziału adresów IP całkowicie niezależnego od stosowanego w sieci produkcyjnej. Dodatkowe mechanizmy wdrożone w sieci produkcyjnej pozwalałyby w takim przypadku łatwo identyfikować i blokować wszelkie pakiety pochodzące z modułu zarządzania (nie powinny one trafiać do sieci produkcyjnej, a w każdym razie nie w formie jawnej).
Oczywiście, zagadnieniem nierozerwalnie związanym z konfigu- racją bezpieczeństwa modułu zarządzania jest określenie właściwych zasad nawiązywania połączeń między serwerami pracującymi w sieci zarządzającej a zarządzanymi urządzeniami. Optymalnie, gdyby wszystkie połączenia mogły być inicjowane ze strony modułu zarządzania.
Klient, serwer i kabelki
Po prawidłowym wydzieleniu całości zagadnień administracyjnych z sieci produkcyjnej praca nad zabezpieczeniem pozostałych modułów funkcjonalnych powinna być już łatwiejsza. Wdrożenie archi-tektury przełączanej w szkielecie sieci oraz opisywanych mechanizmów Private VLAN i założeń RFC 2827 pomogą uszczelnić szkielet sieci oraz warstwę dystrybucji połączeń dla użytkowników końcowych.
Szczególną uwagę trzeba poświęcić modułowi serwerowemu i modułowi użytkowników. Pierwszy z nich powinien być oddzielony od szkieletu sieci przełącznikami trzeciej warstwy potrafiącymi dokonywać inspekcji transmisji pod kątem nadużyć (IDS). Wdrożenie sieciowego IDS na poziomie przełącznika ma tę zaletę, że możliwe jest jednoczesne analizowanie danych przesyłanych przez wszystkie VLAN-y, obsługiwane przez przełącznik. Cisco zaleca jednak, aby nie zdawać się całkowicie na sieciowy system IDS i zainstalować również na każdym z serwerów moduły IDS typu host-based, potrafiące znacznie dokładniej wykrywać próby włamań we wszystkich warstwach modelu sieciowego. Podobnie jak w przypadku modułu zarządzania, poszczególne serwery powinny być podłączone do portów typu Isolated VLAN.
W podsieci użytkowników sprawdzają się standardowe mechanizmy ochrony: przydzielenia stacji użytkownika jednemu z VLAN-ów, instalacja oprogramowania antywirusowego i tzw. osobistych firewalli.
Na styku z Internetem
Szczególną uwagę należy poświęcić zabezpieczaniu modułu internetowego, który grupuje wszystkie urządzenia i usługi pośredniczące w komunikacji między siecią korporacyjną a Internetem oraz udostępnia swoje usługi użytkownikom spoza firmy. Podobnie jak moduł zarządzania, jest on ulubionym celem ataku włamywaczy.
Cisco zaleca, aby na moduł ten składały się zdublowany system firewall, trzy sieciowe systemy IDS (jeden stojący przed firewallem, drugi w strefie zdeminilitaryzowanej, w której znajdują się wszystkie serwery, trzeci już za firewallem, a jeszcze przed siecią firmową) oraz dwie dodatkowe podsieci: zdemilitaryzowana (DMZ) i realizująca filtrowanie adresów URL dla ruchu inicjowanego z wnętrza sieci korporacyjnej (o filtrowaniu piszemy w dalszej części raportu).