Kochanie, czy zamknęłaś LAN ?

Mimo istnienia licznych narzędzi zabezpieczających, wiele sieci NetWare LAN nadal pozostaje otwartych dla włamywaczy

Mimo istnienia licznych narzędzi zabezpieczających, wiele sieci NetWare LAN nadal pozostaje otwartych dla włamywaczy

Mieszkańcy małych miejscowości często wychodzą z domu nie zamykając drzwi. Czują się bezpieczni ze świadomością, iż z dala od centrów miejskich obcy przybysze rzadko zaglądają do ich siedziby. Podobnie postępują użytkownicy małych sieci lokalnych, nie zdając sobie sprawy, iż ich zasoby mogą stać się obiektem cudzego zainteresowania.

Informacje znajdujące się w sieciach lokalnych mogą być bardzo interesujące dla obcych, jak również dla pracowników firmy. W niewesołej sytuacji znaleźć się może wydawca encyklopedii, w której ktoś zamieni imię Jezusa na Allaha, jak też szef banku, którego podwładny przeleje 15 mln USD na konto w Szwajcarii czy sprzedawca, którego projekt oferty lub budżet projektu będzie dostępny dla każdego.

Wprawdzie administratorzy sieci lokalnych nie mogą być odpowiedzialni za wszystkie postępki złośliwych czy rozgniewanych pracowników firmy, jednakże są w stanie podjąć kroki zabezpieczające ich system przed penetracją wewnętrzną i zewnętrzną. Istnieje wiele produktów zabezpieczających, zarówno programowych, np. do ulepszenia kontroli dostępu w sieciach NetWare, jak też sprzętowych, wprowadzających dodatkowy poziom potwierdzania uprawnień. Nie ma żadnego powodu, aby nie zabezpieczać swej sieci, jak też istnieje sto powodów, aby ją zabezpieczyć.

Więcej specjalistów

Przez wiele lat bezpieczeństwo w sieciach lokalnych było lekceważone, stając się tematem krytyki ze strony szefów dużych systemów, nawykłych do szczelnego zabezpieczania dostępudo dużych komputerów. Jednakże w ostatnich latach Novell i inni producenci opracowali odpowiednie środki zabezpieczające.

W tym samym czasie pojawił się inny problem. W środowisku rozproszonym, gdzie użytkownicy mają dostęp do wielu serwerów i baz danych, z możliwością zdalnego dostępu włącznie, zabezpieczenie systemu staje się o wiele trudniejsze niż w przypadku dużych komputerów.

W dużych systemach zajęło to wiele lat prób i błędów, zaś obecnie trzeba tę pracę wykonać raz jeszcze. Wzrost złożoności zagadnienia wymaga zaangażowania większej grupy specjalistów. Przede wszystkim chodzi o określenie, jaka kombinacja narzędzi i technik będzie właściwa dla danego środowiska.

Jeden ze specjalistów firmy Novell pracujących nad zabezpieczeniami dzieli je na kilka grup : ograniczenia dostępu do stacji roboczych, ulepszenia odpowiedzi systemów, narzędzia kontrolne i administracyjne, systemy kodowania, a wreszcie najnowszą - pojedynczy punkt wejścia do środowiska pochodzącego od wielu producentów.

Kim jesteś

NetWare ma wbudowane 4 podstawowe typy środków zabezpieczających: autoryzację, kontrolę dostępu, nadzór i potwierdzenie. Podstawę zabezpieczeń stanowi poziom autoryzacji, którego zadaniem jest zapewnienie, iż Maciek to naprawdę Maciek. Polega on na stosowaniu identyfikatorów użytkowników i struktury haseł. Wielu specjalistów uważa, iż zagadnienie autoryzacji jest najistotniejsze dla zabezpieczania sieci.

NetWare oferuje administratorowi wybór jednego z kilku poziomów kontroli haseł, m.in. poprzez wymuszanie regularnej ich zmiany oraz używania haseł o określonej długości. Zmniejsza to szanse podpatrzenia hasła czy jego odgadnięcia.

Mimo oczywistego znaczenia haseł dla zabezpieczenia systemu, zagadnienie to jest lekceważone przez wielu użytkowników. Według jednej z ankiet amerykańskich 11% użytkowników nie jest zmuszanych do używania haseł, 22% użytkowników posiada uprawnienia administratora, zaś 90% firm nie nakazuje częstej zmiany hasła.

Zalecane jest, aby zmiana hasła następowała przynajmniej co 30 dni, zaś raz użyty ciąg znaków nie mógł być ponownie stosowany przez kilka następnych cykli.

Jednakże system, w którym wprowadzono ścisłe zasady zabezpieczeń, może łatwo znaleźć się w opałach. Często zmieniane hasła są trudne do zapamiętania zaś użytkownicy zmuszeni do stosowania skompliowanych kombinacji mają tendencje do ich zapisywania na łatwo dostępnych kartkach. Wskazany jest więc kompromis pomiędzy unikalnością haseł i zdolnością użytkowników do ich zapamiętania.

Uprawnienia, przywileje, dostęp

Kontrola dostępu staje się coraz ważniejsza w miarę wzrostu sieci i jej połączeń. Szczególnie wrażliwe na niepowołany dostęp są informacje personalne i dane o klientach, np. numery ich kart kredytowych czy inne dane finansowe.

W NetWare 3.x do zabezpieczenia dostępu przewidziano kontrolę dostępu do określonych kartotek, plików, kolejek zadań i wydruków.

NetWare 4.x zacieśnia kontrolę dostępu poprzez NetWare Directory Services (NDS). Prawa dostępu do kartotek i plików są przydzielane użytkownikom i ich grupom, jednostkom organizacyjnym, drukarkom i serwerom.

Istnieją dodatkowe produkty wzmacniające kontrolę dostępu. Przykładowo firma Mergent International oferuje całą gamę produktów dla zabezpieczania dotępu do stacji roboczych, serwerów plików i całych systemów. Jej klientami są często banki i urzędy, które pragną ograniczyć dostęp poszczególnych osób do określonych plików i danych.

Jeden z banków zakupił programy Mergent po stwierdzeniu, iż traci miesięcznie 600 tys. USD na opłatach za przekaz wniosków kredytowych. Chodziło o znalezienie winowajcy zanim zdąży on opuścić firmę.

Przykładem narzędzi dających administratorowi możliwość śledzenia działalności w sieci są produkty Bindview Network Control System firmy LAN Support Group czy Kane Security Analyst z Intrusion Detection.

Bezpieczeństwo scentralizowane

Przyszłością bezpiecznych systemów jest scentralizowana kontrola i jeden tylko punkt wejścia dla każdego użytkownika. Serwer autoryzacyjny będzie przechowywał wszystkie hasła oraz uprawnienia i ograniczenia dostępu. Przy takim systemie pracownicy odpowiedzialni za bezpieczeństwo mogą kontrolować dostęp oraz autoryzację z jednego punktu systemu. Taki system staje się coraz istotniejszy z powodu upowszechnienia architektury klient/serwer i dostępu użytkowników do wielu serwerów. Uważa się, iż tylko scentralizowany system może gwarantować bezpieczeństwo. Minimalnym wymaganiem jest zbudowanie środowiska zabezpieczającego na jednym zaufanym serwerze, który będzie centralnym punktem kontrolnym.

Systemy scentralizowanego zarządzania dzielą się na dwie grupy. NetWare 4.x opiera swą koncepcję zaufanego serwera na produkcie NDS (NetWare Directory Services). Po zalogowaniu do serwera NetWare 4.x użytkownicy mają dostęp do wszystkich innych autoryzowanych serwerów i zasobów.

Inni producenci wprowadzają opracowany w MIT system Kerberos zabezpieczający dane w sieciach rozproszonych. Kerberos został włączony do specyfikacji DCE (Distributed Computing Environment) i zastosowany przez IBM w produkcie NetSP. Koncepcja ta opiera się na serwerze autoryzacyjnym, który może być samodzielną maszyną.

Najistotniejsza różnica między oboma podejściami polega na tym, że NetWare używa technologii kluczy publicznych (ogólnodostępnych) i prywatnych, zaś DCE korzysta z kluczy prywatnych do kodowania i autoryzacji.

Na poziomie aplikacji upowszechnia się także kodowanie, dzięki któremu dostęp do danych uzyskują jedynie autoryzowani użytkownicy i ich procesy. W zeszłym roku rozpoczęto dystrybucję Generic Security Services (GSS) API opracowaną przez grupę Internet Engineering Task Force. Mogą ją wykorzystywać programiści w dowolnej aplikacji. Obecnie GSS jest stosowana jedynie w IBM NetSP, jednakże w przyszłości wykorzystywać ją może każdy interfejs programowy, zarówno DCE, jak Open Vision czy inne.

Przyrzekając przyszłą współpracę z innymi producentami Novell na razie koncentruje się na metodzie zgodnej ze specyfiką DCE. Jednakże architektura NetWare 4.x umożliwia zastosowanie w przyszłości innego podejścia.

Zmiana podejścia Novella może zostać wymuszona przez klientów łączących różne rodzaje sieci ze sobą. Obecnie NDS zabezpiecza jedynie sieci NetWare 4.x.

Jeszcze ściślej

Specjaliści od zabezpieczeń przyznają, że najściślejsza kontrola może być osiągnięta poprzez rozwiązania sprzętowe. Oprogramowanie zawsze może być rozszyfrowane czy zablokowane, co nie jest tak łatwe w przypadku sprzętu.

Istniejące urządzenia zabezpieczają najrozmaitsze systemy, od świetnie izolowanych systemów agend rządowych do zabezpieczania linii i kieszonkowych ochraniaczy Ethernetu.

Stosowane są też czytniki odcisków palców, skanery siatkówkowe i czytniki pasków magnetycznych. Zwiększają one koszty o kilka tysięcy dolarów i ograniczają przenośność systemów.

Najpopularniejszą techniką jest logowanie zwane żetonowym albo dwufazowym. Oparte na niej systemy sprawdzają autentyczność użytkownika poprzez element, który znają (hasło) i element, który posiadają (informacja na żetonie).

Przykładowo karta SecurID współpracuje z ACEServer przez wyświetlanie przypadkowo generowanej liczby, zmieniającej się co 60 s. Użytkownicy włączający się do sieci podają swą nazwę i hasło oraz liczbę aktualnie wyświetlaną na karcie SecurID o wielkości karty kredytowej.

Zmieniająca się co 60 sekund liczba gwarantuje, że nawetpodglądanie użytkownika przez ramię lub podsłuch linii nie daje aktualnego hasła.

Dla lekarzy, którzy chcą zdalnie korzystać z danych o pacjentach, system ten zalecany jest w USA przez Narodowy Instytut Medycyny.

Wprawdzie większość użytkowników PC i sieci LAN nie omija stosowanych środków bezpieczeństwa, jednakże administratorzy systemów nie powinni na tym polegać. Zabezpieczanie sieci jest nakazem zdrowego rozsądku w warunkach ciągłego wzrostu połączeń sieci oraz rosnącej ilości bardzo ważnych aplikacji w tych sieciach. Być może zatem kończy się już okres beztroskiego pozostawiania otwartych drzwi naszych domów. We współczesnej gospodarce wartość środków przedsiębiorstwa jest nie tylko ulokowana w jej wyposażeniu materialnym, lecz także w zasobach intelektualnych. Zasoby informacyjne muszą być chronione podobnie jak maszyny o milionowej wartości.

Jak zabezpieczać

* Zdefiniuj swoje potrzeby w zakresie zabezpieczeń. Ustal podstawowe zasady bezpieczeństwa.

* Przeszkol wszystkich pracowników, w tym administratorów i kontrolerów.

* Chroń słabe punkty i określ środki zaradcze.

* Wyposaż komputery we wszystkie niezbędne technologie zabezpieczające.

* Wykonuj okresowe oszacowania niebezpieczeństwa w celu ustalenia, jak to przedstawia się w twojej sieci.

We współczesnej gospodarce wartość środków przedsiębiorstwa jest nie tylko ulokowana w jej wyposażeniu materialnym, lecz także w zasobach intelektualnych. Zasoby informacyjne muszą być chronione podobnie jak maszyny o milionowej wartości.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200