Inspekcja, detekcja, protekcja

Z problemem Spoofingu można sobie radzić na dwa sposoby. Pierwszym jest taka konfiguracja list dostępowych routerów, by były odrzucane wszystkie pakiety pochodzące spoza sieci, choćby ich źródłowy adres IP wskazywał, że zostały wysłane właśnie z sieci firmowej. Drugą z metod filtrowania opisano w dokumencie RFC 2827. Ma ona na celu wyeliminowanie wykorzystania sieci lokalnej jako źródła ataków na inne sieci. Zakłada, że interfejs wyjściowy routera powinien "wycinać" wszystkie te pakiety, które mimo zainicjowania w sieci korporacyjnej, mają źródłowe adresy IP spoza przedziału numerów wykorzystywanych przez firmę.

Bolesny atak DoS

Największym zagrożeniem dla współczesnych sieci dołączonych do Internetu są ataki typu DoS. Ich inicjatorom nie zależy na uzyskaniu dostępu do danych, lecz na destabilizacji pracy określonej usługi sieciowej. A jeśli cel ataku zostanie dobrze wybrany, to może się okazać, że mimo zaatakowania tylko pojedynczego elementu - komunikacja w całej sieci staje się niemożliwa. Niestety, nie istnieją w pełni skuteczne metody obrony przed atakami DoS.

Nawet jeśli skonfiguruje się firmowy firewall w taki sposób, by rozpoznawał ataki typu ICMP flood, TCP SYN flood czy UDP flood, i blokował niechciane pakiety, to obciążenie łącza, za pośrednictwem którego firma korzysta z Internetu będzie tak duże, że znacznie utrudni przesyłanie nim "legalnych" danych. Kluczem do sukcesu w przeciw-działaniu skutkom ataków DoS może być współpraca z dostawcą usług internetowych, który z kolei będzie współpracował z innymi dostawcami. Zalew pakietów powodowanych atakami DoS powinien być bowiem powstrzymywany tak blisko ich źródła, jak tylko to możli-we. Operatorzy internetowi powinni wdrażać w swoich sieciach mechanizmy wykrywania ataków - polegające z jednej strony na wspomnianym już zabezpieczaniu przed IP Spoofingiem, z drugiej - na ustaleniu dopuszczalnych limitów natężenia ruchu np. ICMP. W przypadku przekroczenia akceptowalnego poziomu powinna być wstrzymywana transmisja takich pakietów - i to już na poziomie sieci operatorskiej lub ostatecznie routera brzegowego klienta pracującego po stronie dostawcy usług internetowych.

Sieć z klocków

Jak więc zaprojektować bezpieczną sieć? Jak zminimalizować ryzyko utraty kontroli nad bezpieczeństwem pracy całej sieci w przypadku gdy już dojdzie do złamania zabez- pieczeń jednego z serwerów czy komputerów? Jedną z najbardziej dojrzałych koncepcji w tym zakresie proponuje Cisco. Opisano ją szczegółowo w dokumencie Cisco SAFE: A Security Blueprint for Enterprise Networks, dostępnym pod adresemhttp://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.htm.

Autorzy proponują, aby sieć korporacyjną podzielić na maksymalnie izolowane moduły funkcjonalne: zarządzania, szkieletowy, serwerowy, brzegowy, internetowy, moduły dystrybucyjne oraz użytkowników. Każdy z nich byłby przeznaczony tylko do realizacji i byłby wyposażony we własne mechanizmy zabezpieczeń przed nadużyciami.

Podstawowym elementem tak budowanej sieci jest moduł zarządzania będący w rzeczywistości wydzielonym segmentem, w którym działają wszystkie związane z wykonywaniem czynności administracyjnych serwery: konsolidujący zarządzanie przez SNMP, logów agregujący dzienniki zdarzeń ze wszystkich monitorowanych urządzeń, IDS konsolidujący informacje z rozmieszczonych w całej sieci sond IDS (serwerów oraz dedykowanych urządzeń), system IDS monitorujący sieć zarządzania oraz podstawowy serwer zarządzający (konsola). W ramach sieci zarządzania powinien się też znajdować serwer terminali, który byłby bezpośrednio dołączony do portów szeregowych poszczególnych urządzeń sieciowych.

Na styku sieci zarządzania z siecią korporacyjną powinien stać firewall, który z jednej strony oddzielałby sieć zarządzania od sieci produkcyjnej, z drugiej zaś pełniłby funkcję serwera VPN terminującego połączenia IPSec (wykorzystywanego do zarządzania urządzeniami sieciowymi i serwerami).

Jednocześnie wszystkie urządzenia sieciowe składające się na moduł zarządzania powinny być podłączone do portów typu Isolated VLAN, a cały ruch każdorazowo przesyłany poprzez serwer firewall, co zabezpieczałoby nawet na wypadek, gdyby włamywacz uzyskał dostęp do jednego z komponentów systemu zarządzania.

Cisco podkreśla, że dla zwięk- szenia bezpieczeństwa konieczne jest wprowadzenie dwupoziomo- wej identyfikacji użytkowników, np. z wykorzystaniem tokenów. W tym celu firma zaleca instalację serwera autoryzującego dostęp administratorów do zasobów modułu zarządzania oraz współpracującego z nim serwera OTP (One-Time Password), odpowiadającego za weryfikację poprawności haseł jednorazowych.