Podzieleni na strefy

Decyzja o tym, które systemy mają dla organizacji najważniejsze znaczenie, powinna znaleźć odzwierciedlenie w podziale sieci wewnętrznej na strefy bezpieczeństwa. Separacja stref jest najczęściej wykonywana za pomocą mechanizmów bezpieczeństwa dostępnych w rozwiązaniach zaporowych.

W systemach świadczących usługi dla innych sieci zagadnieniem o szczególnym znaczeniu jest zabezpieczenie stref szczególnie narażonych na ataki, a więc zawierających publiczne serwery WWW, e-mail, FTP itp. Ze względu na szczególne zagrożenie serwery tego typu umieszcza się w tzw. strefie zdemilitaryzowanej (DMZ) separowanej i monitorowanej przez dedykowany system zaporowy. Dzięki temu włamanie do serwerów publicznych nie otwiera włamywaczowi drogi do zasobów sieci wewnętrznej firmy (rys. 2). Budowanie stref bezpieczeństwa dzięki serwerom z dwoma interfejsami sieciowymi z wyłączonym routingiem jest w praktyce mało skuteczną techniką ochrony.

Wprowadzając w życie koncepcję bezpieczeństwa opartą na analizie ryzyka, nie wolno przyjmować, że skoro pewne zasoby nie są dla organizacji wartościowe, nie warto ich zabezpieczać wcale.

Takie podejście to idealny prezent dla intruzów stosujących bardzo popularną strategię włamań o nazwie island hopping. Polega ona na zdobywaniu dostępu do słabiej zabezpieczonych systemów komputerowych i wykorzystywaniu ich jako "stacji przesiadkowej" do penetracji lepiej chronionych zasobów.

Dziurawe sito

Podstawą skutecznego systemu zabezpieczeń jest wczesne wykrywanie i eliminowanie zagrożeń.

Aplikacje zwane skanerami zabezpieczeń wykrywają znane luki w typowych systemach informatycznych: powszechnie stosowanych systemach operacyjnych, urządzeniach sieciowych, systemach pocztowych, serwerach WWW itp.

Oddzielną klasę stanowią systemy wykrywania włamań (IDS), które zgodnie z nazwą służą do wykrywania prób nieuprawnionej penetracji sieci. Tradycyjne systemy IDS przechwytują wszystkie krążące w sieci pakiety, składają je w sesje i poddają analizie. Proces polegający na rozpakowywaniu ramek medium fizycznego, np. Ethernet, łączeniu pakietów w sesje i odczytywaniu ich zawartości jest bardzo skomplikowany i narażony na błędy, przez co powoduje poważne problemy z wydajnością systemów IDS.

Słaba wydajność przekłada się wprost na "gubienie pakietów" i w efekcie niedostateczną wykrywalność lub wręcz przeciwnie - na dużą liczbę fałszywych alarmów. W praktycznych testach różnych systemów IDS przeprowadzonych przez niezależną instytucję NSS Group (http://www.nss.co.uk) okazało się, że nawet dobrej klasy rozwiązania nie wykryły 5-40% ataków i to pomimo faktu, że sygnatury tych ataków były im znane.

Z tych właśnie powodów popularność zyskuje obecnie nowy rodzaj systemów IDS, tzw. inline IDS. Nowe rozwiązania są co do zasady podobne do systemów firewall. Ruch wchodzi do urządzenia IDS przez interfejs sieciowy i wewnątrz jest poddawany analizie, a następnie wychodzi z urządzenia poprzez drugi interfejs (rys. 3). Dzięki temu kontrola ruchu sieciowego jest łatwiejsza, ataki mogą być skutecznie blokowane w czasie rzeczywistym i nie ma zagrożenia, że IDS "zgubi pakiety". Realna wydajność tych rozwiązań wynosi 100-400 Mb/s, co oznacza, że na razie można je stosować do ochrony pojedynczych segmentów sieci Fast Ethernet oraz mało obciążonych sieci gigabitowych. Można jednak się spodziewać, że ich wydajność w przyszłości wzrośnie. Systemy IDS działające w trybie inline to m.in. Check Point SmartDefence, ISS RealSecure Guard, NetScreen IDP (dawniej OneSecure), Cisco i Radware.

Niektóre koncepcje wdrażania systemów IDS zakładają, że po wykryciu ataku system IDS powinien mieć możliwość rekonfiguracji systemu zaporowego.

Na pierwszy rzut oka pomysł ten wydaje się interesujący, jednak wnikliwa analiza skutków zastosowania go w praktyce prowadzi do przeciwnych wniosków. Automatyczne blokowanie adresów IP, z których wywodzi się atak, wydaje się nierozsądne z kilku powodów. Po pierwsze, włamywacze mogą podczas ataku podszyć się pod praktycznie dowolny adres IP. Łatwo wyobrazić sobie sytuację, w której włamywacz, wiedząc lub nawet tylko podejrzewając, że firma stosuje taką strategię obrony, może wykorzystać do ataku sieci należące do jej ważnych partnerów lub współpracowników. W ciągu kilku minut firma może więc sama pozbawić się kontaktu ze światem. Po drugie, wziąwszy pod uwagę stosunkowo dużo fałszywych alarmów generowanych przez systemy IDS, taka automatyzacja może oznaczać w praktyce więcej, a nie mniej pracy.