Mniejsze firmy pod ochroną

Ochrona sieciowa to pierwsza linia obrony w każdej organizacji. Stoi za tym rzecz tak oczywista jak firewall, ale także mniej powszechne, a nie mniej potrzebne: strefy DMZ, systemy ochrony przed intruzami - IPS (Intrusion Prevention Systems) i wiele innych narzędzi.

W większości przypadków w typowej firmie znajdziemy na brzegu sieci jedną lub kilka zapór umieszczonych za jednym lub kilkoma łączami internetowymi. Postawienie i konfiguracja firewalla jest obecnie procesem w dużej mierze zautomatyzowanym i nie poświęca się temu działaniu zbyt wiele uwagi. Kilka spraw jest jednak wartych wspomnienia.

Małe firmy mogą ustawiać połączenia VPN na wdrożonej zaporze, większym organizacjom zaleca się jednak użycie specjalnie przeznaczonego do tego koncentratora VPN. Wielofunkcyjna zapora (UTM) ma najczęściej funkcje zarządzania, monitorowania i kontroli zintegrowanego koncentratora VPN i przez to może na dłuższą metę ułatwiać zarządzanie ochroną sieciową. W dodatku, gdy UTM nie należy do tych najmniejszych, może umożliwiać tworzenie bardzo wielu tuneli VPN client-to-site. Jednak do obsługi klientów specjalizowane urządzenie VPN to lepszy wybór, a produkcyjna zapora może być użyta do ustanowienia połączeń VPN w trybie site-to-site.

Klienckie VPN to dwie różne technologie: IPSec i SSL. Ta pierwsza oferuje zwykle większe możliwości, ale wymaga specjalnego klienta, a w lokalizacjach, w których pewne rodzaje ruchu są ograniczone, właściwe działanie klienta IPSec jest niemożliwe. Komunikacja w SSL VPN odbywa się natomiast na porcie 443, używanym do standardowej komunikacji SSL w internecie. Dlatego SSL VPN będzie działał w większości lokalizacji niedostępnych dla IPSec VPN, bo zwykle port TCP 443 pozostaje otwarty. Użytkownicy nie potrzebują specjalnego zainstalowanego klienta do komunikacji SSL VPN, używając zamiast tego przeglądarki internetowej (często z pobranym po zainicjowaniu połączenia niewielkim apletem).

W praktyce większość urządzeń VPN umożliwia skorzystanie z obu technologii VPN, dlatego warto się zabezpieczyć, konfigurując na nim zarówno IPSec, jak i SSL. Wtedy niezależnie od miejsca, w którym przebywa zdalny użytkownik, i sprzętu jakim dysponuje, będzie się mógł w bezpieczny sposób połączyć z firmą.

Dobrym pomysłem jest stworzenie kilku grup VPN o różnych ograniczeniach i przydzielenie do nich poszczególnych użytkowników. Będą oni mieli wtedy dostęp tylko do tych zasobów, do których im on przysługuje. To znacznie lepsze rozwiązanie niż pozostawianie szeroko otwartych drzwi do wszystkiego. W odróżnieniu do sieci LAN i WAN, w przypadku VPN przez internet nie mamy kontroli nad tym, gdzie obecnie jest zdalny użytkownik. Dlatego poświęcenie trochę czasu na skonfigurowanie dostępu zgodnie z jego potrzebami i prawami nie narazi nas na wielkie straty, nawet jeśli nasz notebook zostanie pozostawiony bez opieki lub skradziony.

Żeby wzmocnić ochronę wewnętrznej sieci, warto zastosować sensory systemu wykrywania intruzów IDS (Intrusion Detection System) w miejscach szczególnie narażonych na atak. Na dobry początek - jeden sensor monitorujący ruch zaraz za zaporą, a drugi kontrolujący sieć VLAN serwerów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200