Modernizacja i optymalizacja infrastruktury sieciowej

Modyfikacja zabezpieczeń

Coraz bardziej skupiamy się na bezprzewodowej części sieci, często zapominając o bezpieczeństwie sieci przewodowej. Czasami proste rozwiązania mogą znacząco podnieść bezpieczeństwo całej infrastruktury sieciowej. Podstawą bezpieczeństwa jest dokonanie audytu i mapowania zasobów sieci. Konieczna jest dogłębna analiza całej infrastruktury sieciowej. Dobrze wiedzieć, jaki sprzęt posiadamy, jaka jest konfiguracja firewalli, przełączników, routerów, jaki jest układ przewodów, portów i urządzeń dostępu bezprzewodowego. Dodatkowo warto wiedzieć, jak są przyłączone do sieci serwery, komputery i drukarki, a także jaką przepustowością dysponują te połączenia.

W trakcie audytu i mapowania można spotkać się z określonymi problemami bezpieczeństwa. Być może natrafisz na źle skonfigurowaną zaporę lub inne fizyczne zagrożenie. Jeżeli sieć nie jest rozległa, wystarczy ręczny audyt i stworzenie mapy nawet na kartce papieru. Duża sieć wymaga zastosowania narzędzi do automatycznego audytu oraz mapowania.

Kolejny krok to sprawdzenie aktualizacji oprogramowania lub sprzętu dla wszystkich komponentów sieci. Warto zalogować się do urządzeń i sprawdzić czy nie wykorzystują domyślnych haseł, niebezpiecznej konfiguracji, a także wyłączyć nieużywane opcje i ustawienia. Następnie trzeba przyjrzeć się komputerom i urządzeniom przyłączonym do sieci, czy systemy operacyjne są zaktualizowane, zapory sieciowe aktywne, antywirusy uruchomione, a silne hasła – ustawione.

W sieci przewodowej nikt nie zwraca uwagi na bezpieczeństwo – przeważnie po prostu szybko wpinamy się w gniazdo… i już. W sieci bezprzewodowej nacisk na zabezpieczenia jest dużo większy, szczególnie w przypadku mechanizmów WPA2-Personal i WPA2-Enterprise. Filtracja MAC adresów w sieci przewodowej może zostać przełamana przez zdeterminowanego atakującego, ale może stanowić pierwsza linię bezpieczeństwa. Filtracja adresów MAC daje także zwiększoną kontrolę nad siecią. Pełną kontrolę nad dostępem do sieci zapewni uwierzytelnienie po stronie przewodowej, które jest często ignorowane ze względu na skomplikowane wdrożenie. Do wdrożenia uwierzytelnienia 802.1X potrzebny jest serwer RADIUS, który służy jako baza danych użytkowników i stanowi jednocześnie komponent uwierzytelniania czy odrzucania dostępu sieciowego.

Szyfrowanie

Administratorzy rozumieją potrzebę szyfrowania po stronie bezprzewodowej, ale w bardzo niewielkim zakresie po stronie przewodowej. A wystarczy dostęp do gniazda sieciowego, aby przy słabo zabezpieczonej sieci przechwytywać pakiety nieszyfrowanego ruchu, który zawiera hasła, informacje z poczty elektronicznej i inne ważne dokumenty. Najlepszą opcją jest szyfrowanie tylko wybranych aplikacji wrażliwych na dostęp poprzez mechanizmy SSL/HTTPS/SSH. Krytyczny ruch można także przesłać przez VPN na kliencie, który może być wykorzystywany nie tylko w przypadku pracy z zewnętrznej. Konieczna jest analiza całego ruchu w sieci i ocena, co wymaga szyfrowania. Można oczywiście szyfrować całą komunikację z wykorzystaniem IPSec, ale warto pamiętać o sporym narzucie na ruch, co spowoduje znaczące obniżenie wydajności połączeń.

Dlaczego QoS?

Usługi działające w czasie rzeczywistym – np. VoIP, a coraz częściej aplikacje chmurowe – wymagają jak najmniejszych opóźnień oraz zmienności opóźnień. Praktycznie nie jest tolerowana strata pakietów, która może znacząco utrudnić lub uniemożliwić poprawną pracę usług. Efektywne świadczenie takich usług przez sieć wymaga odpowiedniego traktowania pakietów, które zapewnia implementacja QoS.

Istnieją trzy główne implementacje QoS – Best-Effort, IntServ (Integrated Services) oraz DiffServ (Differentiated Services). Model Best-Effort bazuje na tradycyjnej zasadzie działania sieci Internet. W tym modelu nie są wspierane żadne mechanizmy QoS, natomiast ruch jest przesyłany na zasadzie „kto pierwszy, ten lepszy”. Pakiety głosowe są traktowane identycznie jak pakiety przesyłające sesje HTTP.

Model IntServ rezerwuje zasoby w ramach określonej ścieżki przez sieć. W tym modelu gwarancja QoS jest realizowana od urządzenia nadawczego do odbiorczego. IntServ sygnalizuje wymagania względem QoS w ramach całej trasy pakietu. Każdy strumień przesyłany przez sieć, wymaga indywidualnej rezerwacji zasobów poprzez protokół RSVP (Resource Reservation Protocol). W praktyce trudno wymusić na wszystkich urządzeniach przesyłających pakiety, wsparcia dla tego modelu. W zasadzie ten model sprawdzi się tylko w ramach jednorodnej infrastruktury operatora, który zarządza wszystkimi urządzeniami przez które przesyłane są pakiety. Z punktu widzenia użytkownika końcowego lepszym modelem będzie DiffServ.

Model DiffServ jest najczęściej wykorzystywanym powszechnie w ramach QoS w dostępnych dla każdego użytkownika rozwiązaniach sieciowych. W zasadzie powstał w celu przełamania barier wprowadzanych przez model Best-Effort. DiffServ pozwala skonfigurować na ruterach lub przełącznikach wiele klas ruchu z różnymi priorytetami. Dodatkowo możemy do każdej klasy przypisać parametry QoS - priorytet, przepustowość i wiele innych. Każda z klasa posiada inny poziom usługi w zależności od różnych polityk. Ruch głosowy lub wideo będzie zawsze wymagał priorytetu i lepszych parametrów jakościowych, niż ruch danych. W urządzeniach sieciowych możemy podzielić ruch na klasy z wykorzystaniem pola ToS (Type of Service) w nagłówku IP.

Implementacja QoS w każdej sieci może znacznie poprawić jakość pracy. Wymagana jest szczególnie w przypadku, gdy łącze do internetu charakteryzuje się słabymi parametrami, a także przez sieć przesyłane są usługi głosowe czy wideo.

Styk sieci z internetem

Ostatnim elementem ulegającym optymalizacji powinno być połączenie z siecią internet i konfiguracja urządzeń realizujących tę funkcje. Na styku sieci z internetem w większości wdrożeń znajduje się router lub zapora sieciowa, a najczęściej jedno urządzenie integrujące poszczególne funkcje obu rozwiązań. Urządzenie pełni funkcje NAT (Network Address Translation), QoS (Quality of Service), DHCP (Dynamic Host Configuration Protocol), trasowania (także VLAN) oraz zapewnia różne mechanizmy bezpieczeństwa (VPN, filtracja, itp.).

Nawet jeżeli nie posiadasz zaawansowanego firewalla, zawierającego zintegrowany IPS/IDS, czy systemu UTM, możesz łatwo zwiększyć poziom bezpieczeństwa poprzez odpowiednią filtrację. Filtracja może zostać przeprowadzona na poziomie protokołu IP, a także protokołów sieciowych. Coraz większa liczba routerów i zapór wspiera także filtrowanie treści, przykładowo z wykorzystaniem mechanizmów OpenDNS. Warto zastosować regułę, że wszystko co nie jest dopuszczone do pracy, domyślnie jest odrzucane.

Połączenia z zewnątrz do sieci firmowej powinny być realizowane za pośrednictwem mechanizmów IPSec. Jeżeli urządzenie nie obsługuje tego protokołu, a zapewnienie dostępu zdalnego jest konieczne, zazwyczaj realizowane jest poprzez przekierowanie portów. W tym przypadku koniecznie należy ograniczyć zakres adresów IP, które uzyskują dostęp do usługi.

Kluczową funkcją routera powinno być logowanie połączeń oraz zdarzeń do zewnętrznego serwera SYSLOG. W przypadku problemów sieciowych, awarii, konieczności ustalenia określonego użytkownika wewnątrz sieci, przeszukanie dzienników zdarzeń pozwoli wykryć każdą anomalię.


IBM Think Digital Summit Poland, 16-17 września 2020
TOP 200