Ochronić klejnoty

Metod ochrony informacji jest bez liku - podobnie jak sposobów ich pozyskiwania. Pytanie, kto będzie bardziej wytrwały: włamywacze czy ochroniarze.

Metod ochrony informacji jest bez liku - podobnie jak sposobów ich pozyskiwania. Pytanie, kto będzie bardziej wytrwały: włamywacze czy ochroniarze.

Sposobów na dotarcie do chronionych zasobów informacyjnych jest wiele - od narzędzi automatycznych, przez atak "ręczny", wykorzystanie wirusów lub koni trojańskich, ataki socjotechniczne, podsłuch, kopiowanie danych, czy nawet wprowadzanie do firmy "agentów". Jeśli osoby odpowiedzialne za bezpieczeństwo nie posiądą odpowiednich kwalifikacji i będą ignorować podstawowe zasady bezpieczeństwa, każdy z powyższych sposobów okaże się skuteczny. Czy warto sprawdzać, że to prawda?

Zmienić facjatę

Statystycznie rzecz biorąc, najczęstszym naruszeniem bezpieczeństwa firmy przez Internet jest włamanie do serwera przechowującego witrynę WWW, często umieszczonego poza strefą DMZ i nieposiadającego połączenia z siecią lokalną. Oczywistą przyczyną ataków jest widowiskowość takiego zdarzenia dla nastoletnich miłośników informatyki. Kto nie wierzy, niech zajrzy nahttp://hacking.pl/hacked.php , gdzie są zachowywane podmienione przez włamywaczy strony WWW.

Najczęstszym sprawcą jest korzystający z gotowych narzędzi nastolatek, typowym celem zaś - źle zabezpieczony, niezaktualizowany lub źle skonfigurowany serwer WWW . Włamanie takie, choć przynosi pewną ujmę wizerunkowi firmy, zazwyczaj nie powoduje znaczącej utraty danych ani innych realnych szkód. Chyba że posłuży jako stacja przesiadkowa do atakowania pozostałych systemów. Najlepszym zabezpieczeniem na taką ewentualność jest outsourcing strony WWW na serwerach dostawcy łącza. W takim scenariuszu to dostawca odpowiada za jego bezpieczeństwo i zazwyczaj robi to profesjonalnie.

W obronie poczty

Znacznie większe szkody dla firmy niż podmiana strony WWW może spowodować udane włamanie do serwera poczty elektronicznej i zainstalowanie tam programu szpiegującego. Z tego powodu ważne jest przede wszystkim odpowiednie przygotowanie architektury systemu pocztowego. Dobrym rozwiązaniem jest podzielenie go na części. W strefie DMZ powinny stanąć bezpieczne serwery poczty internetowej (np. qmail czy postfix) działające na konserwatywnie skonfigurowanej platformie systemowej z rodziny Unix (np. Linux, BSD, Solaris). Z tymi serwerami - i tylko z nimi - będą się komunikować wewnętrzne serwery pracy grupowej i poczty elektronicznej, jak Lotus, Exchange, Oracle Collaboration Suite czy PHProjekt. Przy takiej konstrukcji systemu pocztowego korespondencja krążąca w intranecie nigdy nie wyjdzie poza sieć firmową, a włamanie na serwer zewnętrzny nie będzie oznaczać kompromitacji całego systemu.

Desant z powietrza

Jedną z najłatwiejszych dróg do wnętrza firmy są dziś sieci WLAN budowane za pomocą popularnego sprzętu WiFi. Włamanie za pośrednictwem sieci radiowej nie wymaga od intruza wiele wysiłku - wystarczy, że znajdzie się w zasięgu firmowych nadajników. Jeśli osoba zarządzająca siecią WLAN (często nie jest to, niestety, administrator sieci) była na tyle naiwna, że podłączyła router WLAN bezpośrednio do sieci lokalnej (tak jest, niestety, w większości przypadków), problemy są tylko kwestią czasu. O zabezpieczeniach sieci bezprzewodowej napisano na łamach Computerworld sporo, przypomnę jednak podstawowe zasady. Router WLAN powinien być traktowany tak jak serwer WWW - powinien więc działać w strefie DMZ. Koniecznością jest szyfrowanie transmisji. Szyfrowanie warstwy łącza (WEP, WPA, 802.11i - najlepiej to ostatnie) to absolutne minimum. Uzupełnieniem powinno być szyfrowanie w wyższych warstwach - dobrym rozwiązaniem jest zastosowanie bramki VPN lub serwera terminalowego z szyfrowaniem SSL.

Absolutnym wymogiem bezpiecznej sieci WLAN jest restrykcyjne uwierzytelnianie oraz szyfrowanie transmisji. Nie daje to stuprocentowej ochrony, ale dostatecznie zniechęca amatorów bezprzewodowego dostępu do cudzej sieci. Dodatkowo należy ustawić filtry pakietów tak, by dostęp do sieci WLAN miały tylko określone urządzenia sieciowe. Koniecznie trzeba też wyłączyć rozgłaszanie nazwy sieci. W ten sposób, nawet jeśli włamywacze spróbują ataku na sieć WLAN, uzyskają co najwyżej klucz szyfrujący dane w łączu.

Po sieci w cichobiegach

Jeśli zdalny atak na firmę nie przynosi rezultatów, włamywacze zmuszeni są złożyć wizytę w firmie. Tutaj bardzo poważną rolę pełnią zabezpieczenia fizyczne i proceduralne, które uniemożliwią nieautoryzowany dostęp do newralgicznych miejsc, takich jak serwerownia czy pomieszczenia zarządu, sejfy zawierające ważne dla firmy informacje, kopie bezpieczeństwa.

Poprawę bezpieczeństwa można uzyskać relatywnie szybko. Podstawowy zabieg polega na zastosowaniu filtrów na adresy MAC, ustawienie statycznych wpisów ARP, a także włączenie i odpowiednie skonfigurowanie zapór sieciowych na przełącznikach LAN. Prawie wszystkie sprzedawane obecnie przełączniki zarządzane dają możliwość filtrowania adresów kart sieciowych, podobnie zresztą potrafią to routery WAN i sprzęt WLAN. Wielu administratorów wciąż woli dziwnie pojmowaną "elastyczność" i nawet jeśli posiada stosowne możliwości, w praktyce rzadko z nich korzysta.


TOP 200