Inspekcja, detekcja, protekcja

Zabezpieczanie przełączników

Kroki, które należy podjąć, by zabezpieczyć przełączniki sieciowe przed nie autoryzowanym dostępem, zestawianiem połączeń i wykorzystaniem ich do ataków:

  • Wszystkie porty, które nie służą do obsługi agregowanych połączeń, powinny mieć parametr Trunk przestawiony na Off zamiast standardowego Auto. Zabezpieczy to przed przypadkowym bądź celowym zmuszeniem portu do pracy jako port Trunk i przesyłania nim wszystkich danych zagregowanymi łączami

  • Upewnić się, że porty typu Trunk wykorzystują inny numer VLAN niż pozostałe skonfigurowane sieci wirtualne. W przeciwnym razie dane przepływające przez zagregowane łącze trafiałyby również do innej podsieci VLAN - bez procesu routingu w trzeciej warstwie

  • Skonfigurować wszystkie nie używane porty przełącznika w taki sposób, by znajdowały się w sieci VLAN nie posiadającej w ogóle możliwości routingu w trzeciej warstwie. Alternatywą jest całkowite zablokowanie nieaktywnych w danej chwili portów, co zabezpieczy przed uzyskaniem dostępu do sieci przez włamywacza wpinającego swój komputer do wolnego gniazda

  • Nie stosować technologii VLAN jako jedynego rozwiązania zabezpieczającego w środowiskach wymagających poufności danych. W konfiguracji sieci wirtualnych bardzo łatwo jest bowiem popełnić trudny do wykrycia błąd

    <div align="right">Źródło: Cisco Systems</div>

  • Sieć zarządzania powinna korzystać z własnego przedziału adresów IP całkowicie niezależnego od stosowanego w sieci produkcyjnej. Dodatkowe mechanizmy wdrożone w sieci produkcyjnej pozwalałyby w takim przypadku łatwo identyfikować i blokować wszelkie pakiety pochodzące z modułu zarządzania (nie powinny one trafiać do sieci produkcyjnej, a w każdym razie nie w formie jawnej).

    Oczywiście, zagadnieniem nierozerwalnie związanym z konfigu- racją bezpieczeństwa modułu zarządzania jest określenie właściwych zasad nawiązywania połączeń między serwerami pracującymi w sieci zarządzającej a zarządzanymi urządzeniami. Optymalnie, gdyby wszystkie połączenia mogły być inicjowane ze strony modułu zarządzania.

    Klient, serwer i kabelki

    Po prawidłowym wydzieleniu całości zagadnień administracyjnych z sieci produkcyjnej praca nad zabezpieczeniem pozostałych modułów funkcjonalnych powinna być już łatwiejsza. Wdrożenie archi-tektury przełączanej w szkielecie sieci oraz opisywanych mechanizmów Private VLAN i założeń RFC 2827 pomogą uszczelnić szkielet sieci oraz warstwę dystrybucji połączeń dla użytkowników końcowych.

    Szczególną uwagę trzeba poświęcić modułowi serwerowemu i modułowi użytkowników. Pierwszy z nich powinien być oddzielony od szkieletu sieci przełącznikami trzeciej warstwy potrafiącymi dokonywać inspekcji transmisji pod kątem nadużyć (IDS). Wdrożenie sieciowego IDS na poziomie przełącznika ma tę zaletę, że możliwe jest jednoczesne analizowanie danych przesyłanych przez wszystkie VLAN-y, obsługiwane przez przełącznik. Cisco zaleca jednak, aby nie zdawać się całkowicie na sieciowy system IDS i zainstalować również na każdym z serwerów moduły IDS typu host-based, potrafiące znacznie dokładniej wykrywać próby włamań we wszystkich warstwach modelu sieciowego. Podobnie jak w przypadku modułu zarządzania, poszczególne serwery powinny być podłączone do portów typu Isolated VLAN.

    W podsieci użytkowników sprawdzają się standardowe mechanizmy ochrony: przydzielenia stacji użytkownika jednemu z VLAN-ów, instalacja oprogramowania antywirusowego i tzw. osobistych firewalli.

    Na styku z Internetem

    Szczególną uwagę należy poświęcić zabezpieczaniu modułu internetowego, który grupuje wszystkie urządzenia i usługi pośredniczące w komunikacji między siecią korporacyjną a Internetem oraz udostępnia swoje usługi użytkownikom spoza firmy. Podobnie jak moduł zarządzania, jest on ulubionym celem ataku włamywaczy.

    Cisco zaleca, aby na moduł ten składały się zdublowany system firewall, trzy sieciowe systemy IDS (jeden stojący przed firewallem, drugi w strefie zdeminilitaryzowanej, w której znajdują się wszystkie serwery, trzeci już za firewallem, a jeszcze przed siecią firmową) oraz dwie dodatkowe podsieci: zdemilitaryzowana (DMZ) i realizująca filtrowanie adresów URL dla ruchu inicjowanego z wnętrza sieci korporacyjnej (o filtrowaniu piszemy w dalszej części raportu).