Komputery pod szczególnym nadzorem
-
- 23.12.2008
Znacznie lepszym pomysłem jest jednak wykorzystanie uwierzytelnienia tokenami. Kompromitacja serwera tokenów również jest możliwa, ale jest to znacznie trudniejsze, gdyż nie ma w tym celu łatwo dostępnych, gotowych narzędzi (w odróżnieniu od ataków na popularną domenę Windows). Eksperci są zdania, że oprócz RSA SecurID, są inne tokeny, które także nadają się do autoryzacji przy zaporach sieciowych, np. ActivCard czy A-Key. Można również użyć tokenów programowych, dostępne są nawet rozwiązania przeznaczone dla telefonów komórkowych i urządzeń PDA (RSA, CryptoCard), są tańsze od tokenów sprzętowych, ale nie zapewniają tak dobrego bezpieczeństwa.
Bezpieczna sieć
Należy przyjąć za zasadę oddzielania najważniejszych zasobów serwerowych od połączeń z Internetem. Tworzenie strefy DMZ, w której umieszczane są serwery jest typowym rozwiązaniem, łatwym do realizacji nawet w przypadku zapór, takich firm jak D-Link, zaś zaawansowane zapory sieciowe z założenia umożliwiają tworzenie reguł dla DMZ. Należy bardzo uważnie zaplanować usługi oraz serwery umieszczane w takiej strefie i prawidłowo skonfigurować zaporę sieciową.
Bardzo dobrą praktyką jest umieszczenie szczególnie ważnych serwerów w osobnej podsieci (nawet jeśli nie mają dostępu do Internetu) i filtrowanie ruchu pomiędzy pozostałymi komputerami a tą grupą maszyn. Wychwycenie niepożądanych połączeń może być poważnym sygnałem informującym o tym, że w którymś z segmentów sieci dzieje się coś niedobrego.
Bardzo ważną zasadą jest kontrolowanie ruchu przechodzącego na styku sieci lokalnej i Internetu. Standardowa zapora sieciowa filtrująca ruch na podstawie adresów IP i portów już od dawna nie wystarczy. Jest bardzo skutecznym narzędziem umożliwiającym odfiltrowanie części najbardziej niepożądanego ruchu (np. działa na część sieci peer-to-peer), ale nie potrafi sobie poradzić z zagrożeniami typowymi dla dzisiejszych ataków. Kilka reguł, które rządziły ustawieniami zapór, jest ważnych także i dziś.
Najważniejszą z nich jest zasada domyślnego blokowania połączeń i odblokowywania jedynie tych, które są pożądane. Drugą ważną regułą jest niewpuszczanie ruchu przychodzącego bezpośrednio do sieci lokalnej firmy. Do tego celu ma służyć wyłącznie DMZ. Umieszczenie serwera, do którego przychodzi ruch z Internetu w tej samej podsieci, co reszta maszyn, grozi kompromitacją całej sieci firmowej. Niestety jest to możliwe także przez amatora, w sposób zdalny i automatyczny (na przykład przy mocno nieaktualnych systemach operacyjnych i aplikacjach w firmie). Znane były przypadki kompromitacji całej sieci dość dużej firmy przez jeden nieaktualizowany przez kilka miesięcy serwer WWW. To potrafią zrobić nawet amatorzy, przy użyciu gotowych narzędzi, jeśli serwer nie jest w ogóle aktualizowany.
Ruch związany z przeglądaniem Internetu musi odbywać się przy użyciu serwera pośredniczącego (proxy). Dzięki zablokowaniu bezpośredniego połączenia do Internetu na porcie 80, można odfiltrować bardzo wiele niepożądanego ruchu. Przeglądanie stron WWW powinno się odbywać za pomocą proxy, najlepiej zabezpieczonego za pomocą hasła.
Bardzo wiele ruchu generowanego przez malware odbywa się na porcie 443, przy szyfrowaniu za pomocą SSL. Należy zablokować całkowicie ruch SSL i odblokowywać go jedynie do wybranych serwerów. Jeśli firma zezwala na przeglądanie Internetu przez pracowników, należy uzgodnić z nimi sposób zgłaszania potrzebnego im adresu SSL, by go selektywnie odblokowywać. Dzięki tak restrykcyjnym zasadom, ruch pomiędzy zarażonymi przez malware stacjami roboczymi a zarządzającymi botnetem serwerami będzie łatwy do wykrycia. Jeśli współpraca między informatykami a pracownikami jest dobrze uregulowana, bardzo prędko zostaną ustalone wszystkie niezbędne adresy wymagające połączenia SSL i bezpieczeństwo firmy na tym nie ucierpi.
Należy zablokować całkowicie ruch od stacji roboczych do zewnętrznych serwerów DNS. Odpytania DNS mogą być realizowane tylko przez firmowy serwer DNS, w którym należy zastosować reguły dotyczące filtrowania adresów.
Jeśli firma posiada serwer pocztowy we własnej sieci, należy zablokować wszystkie połączenia związane z pocztą elektroniczną między stacjami roboczymi a Internetem. Wysyłać maile może tylko serwer pocztowy. Jeśli w sieci lokalnej nie ma serwera pocztowego (co jest możliwe, gdy firma jest bardzo mała i wystarczy jej zewnętrzny serwer u dostawcy usług), należy zablokować połączenia od stacji roboczych i serwerów do innych serwerów poczty elektronicznej niż ten, z którego firma korzysta. Taka konfiguracja skutecznie uniemożliwi wysyłanie spamu przez zarażone maszyny. W razie infekcji, firma nie stanie się źródłem spamu. Jeśli firma zezwala pracownikom na korzystanie z prywatnej poczty elektronicznej, mogą to wykonać za pomocą przeglądarki, przez WWW.
Ruch WWW, nawet jeśli podlega ograniczeniom wymuszanym na serwerze pośredniczącym, nie zawsze podlega stosownej inspekcji. Niektóre programy uznawane za niepożądane (na przykład Skype) potrafią wykraść dane autoryzacyjne do serwera proxy i z nich skorzystać, zatem należy zapewnić jeszcze jeden mechanizm kontroli ruchu. Jest nim IPS, który włączony pomiędzy siecią lokalną a Internetem będzie mógł zapobiegać niepożądanym połączeniom. Rola IPS wykracza znacznie dalej, gdyż wiele z nich posiada bardzo sprawny mechanizm aktualizacji, dzięki czemu mogą zapobiegać atakom zanim jeszcze producent systemów operacyjnych czy oprogramowania wyda odpowiednie aktualizacje. Dobre IPS-y posiadają zestaw reguł, które umożliwiają blokowanie całych kategorii ruchu lub ataków, ułatwiając dzięki temu pracę administratorom.
