Komputery pod szczególnym nadzorem

Najpopularniejszym w Polsce rozwiązaniem są tokeny firmy RSA. Tradycyjne rozwiązanie obejmuje instalację serwera RSA na wydzielonym komputerze z dobrze zabezpieczonym (utwardzonym z ang. hardening) systemem Windows lub Solaris. Po instalacji serwera, na każdej zabezpieczanej maszynie instalowany jest agent autentykacji, który po połączeniu do serwera tokenów dokonuje autoryzacji. W usługach terminalowych Windows, agent integruje się z procesem logowania do systemu, umożliwiając uwierzytelnienie na dwa sposoby – albo po standardowym zalogowaniu za pomocą loginu i hasła podawany jest PIN - wraz z odczytem z tokena - albo do logowania używa się tylko loginu i zestawu PIN+odczyt. To drugie rozwiązanie jest prostsze dla użytkowników, ale umożliwia atak odmowy obsługi, gdyż system blokuje token po kilku nieudanych próbach zalogowania. Ustawienia te można zmienić, każde z nich ma swoje zalety i wady. W podobny sposób można integrować agenta w systemach typu Unix.

Tokeny OTP, które wyświetlają zmieniający się kod dostępu, mają istotną przewagę w rozproszonych systemach, gdyż umożliwiają logowanie się z różnych terminali, z dowolnego komputera (w tym także z systemów, takich jak Linux i MacOS), a nawet z urządzeń przenośnych PDA i niektórych telefonów klasy smartphone. Tam token USB, przechowujący w pamięci certyfikat, jest znacznie mniej przydatny. W wielooddziałowej firmie tokeny OTP sprawdzają się znacznie lepiej od certyfikatów przechowywanych w tokenach USB, gdyż są całkowicie niezależne od infrastruktury klienta. Oczywiście można je także stosować na stacjach roboczych, ale wtedy wymagana jest instalacja agenta na każdym chronionym komputerze.

Zabezpieczenie komunikacji

Gdy firma ma zamiar korzystać z komunikatorów internetowych (wiele firm to robi, gdyż jest to szybki i sprawny sposób komunikacji elektronicznej), należy się zastanowić nad bezpiecznym sposobem pracy z nimi. Najpopularniejszym w Polsce komunikatorem jest Gadu-Gadu, którego protokół nadal zawiera poważne błędy. Są przedsiębiorstwa, które wykorzystują w obrębie firmy komunikator pracujący przy użyciu Jabbera (tak działa choćby Google Talk), ale wykorzystujący połączenie (tzw. transport) do Gadu-Gadu w celu komunikacji poza firmą. Wtedy aplikacja instalowana na stacjach roboczych nie łączy się z zewnętrzną siecią bezpośrednio, ale wiadomości są przesyłane poprzez serwer. Komunikator Tlen jest mniej groźny od Gadu-Gadu, gdyż korzysta z protokołu Jabber i wiele IPS-ów posiada gotowe reguły rozpoznające ten ruch. Zablokowanie połączeń związanych z transferem plików na serwerze proxy załatwia problem.

Zagrożeniem dla firmy nie jest sam komunikator, ale fakt niekontrolowanego przesyłania plików przez niego oraz możliwości tworzenia własnych sieci. Znacznie poważniejszym od Gadu-Gadu zagrożeniem jest Skype, bowiem ten komunikator umożliwia zdalne przeskanowanie sieci lokalnej firmy. Wyjściem jest utworzenie osobnej podsieci dla połączeń Skype, ale wymaga to sporych inwestycji. Należy przyjąć żelazną zasadę – na szczególnie ważnych komputerach nie może być zainstalowany żaden komunikator oraz nie można z niego przeglądać Internetu.

Kłódka do kanału

Wiele firm wykorzystuje dostęp za pomocą kanałów wirtualnych sieci prywatnych. Zapory sieciowe z bramami VPN posiadają opcję uwierzytelnienia korzystającego z domeny Active Directory (lub podobnej technologii innych firm, na przykład Novell lub Sun). Tak zwane „doprowadzanie domeny do zapory”, czyli połączenie z domeną w celu autentykacji użytkowników nie jest najlepszym pomysłem, gdyż w razie kompromitacji zapory sieciowej, zagrożona może być cała domena. To samo dotyczy bram VPN realizowanych za pomocą usług dostępu zdalnego Windows. Tutaj poważny błąd w konfiguracji może skutkować otwarciem całej domeny, także dla włamywaczy-amatorów. Jeśli firma wdrożyła serwer Windows 2008, można skorzystać z nowej usługi, kontrolera domeny w trybie tylko do odczytu.


TOP 200