Inspekcja, detekcja, protekcja

Na każdym z serwerów pracujących w strefie zdemilitaryzowanej powinien być dodatkowo zainstalowany lokalny system IDS, monitorujący próby naruszenia bezpieczeństwa systemu operacyjnego oraz pracujących pod jego kontrolą aplikacji. Jednocześnie zarówno na poziomie systemu operacyjnego, jak i firewalla powinny być wdrożone mechanizmy filtrowania specyficzne dla usługi realizowanej przez dany serwer. Przykładowo: nie ma potrzeby, by serwer WWW sam inic-jował połączenia - wystarczy że będzie odpowiadał na żądania nadchodzące z Internetu. Jeśli będzie próbował sam zainicjować jakąś sesję komunikacyjną, może to oznaczać, że jego zabezpieczenia zostały złamane i w rzeczywistości dostęp do sieci próbuje uzyskać "przemycona" tam przez włamywacza aplikacja.

Podobnie serwer DNS powinien zostać skonfigurowany tak, by odpowiadał wyłącznie na dozwolo- ne zapytania, a ignorował żąda- nia udostępnienia pełnej informacji o konfiguracji domeny. Błędy w konfiguracji DNS włamywacze wykorzystują, by poznać strukturę sieci, którą planują zaatakować. Tą drogą poznają nazwy komputerów, ich numery IP i podstawowe usługi, jakie oferują (np. rekord MX wskazuje na pracę maszyny jako serwera pocztowego). Jednocześnie powinien być ściśle kontrolowany sposób wymiany informacji o konfiguracji domen (tzw. zone transfer). Serwer DNS pracujący w strefie DMZ powinien akceptować aktualizacje parametrów domenowych wyłącznie z serwerów DNS działających w sieci korporacyjnej.

Co grozi w przypadku niewłaściwego wykorzystania dostępu do Internetu?

  • W roku 1995 firma Chevron zapłaciła 2,2 mln USD czterem pracownicom za wycofanie pozwu, w którym oskarżyły one firmę o molestowanie seksualne, ponieważ otrzymywały pocztą elektroniczną dowcipy związane z seksem.

  • Amerykańska firma Edward D. Jones & Co zwolniła w 1999 r. 19 pracowników, a 41 ukarała dyscyplinarnie po tym, jak jeden z członków załogi poskarżył się na otrzymywanie e-maili z obraźliwą zawartością.

  • W roku 1999 jedna z instytucji finansowych została pozwana przez pracownicę, która znalazła wydruk pornograficznego listu na drukarce.

  • Dwóch pracowników Nissan Motor zwolnionych za wysyłanie poczty elektronicznej o treści związanej z seksem wytoczyło w styczniu 2000 r. firmie proces, oskarżając ją o pogwałcenie prywatności korespondencji. Nissan Motor wygrała ten proces, ponieważ miała ustaloną politykę dotyczącą korzystania z poczty elektronicznej, która zakazywała używania firmowych systemów komputerowych w celach prywatnych.

  • W styczniu 1999 r. firma BG wypłaciła konkurencyjnej firmie Transco 161 tys. USD po tym, jak jeden z dyrektorów BG wysłał do pracowników Transco list zawierający nieprawdziwe i szkalujące Transco informacje.

  • Norwich Union Insurance zostało zmuszone do zawarcia ugody wartej 450 tys. GBP za zniesławienie za pośrednictwem poczty elektronicznej konkurencyjnej firmy Western Provident Association.

  • Wielostopniową kontrolę należy wprowadzić również w przypadku serwera pocztowego. Firewall powinien blokować te sesje pocztowe, które nie posługują się prawidłowymi komendami SMTP, a pracujący na bramce pocztowej system analizy zawartości przesyłek powinien usuwać wszelkie ewentualnie dołączane wirusy i konie trojańskie. Jeśli, mimo stosowanych zabez- pieczeń, włamywaczowi uda się włamać do serwera pocztowego działającego w DMZ, to ma on praktycznie otwartą drogę do podstawowego serwera pocztowego, zainstalowanego w sieci lokalnej firmy. Bramki SMTP pracujące na styku z Internetem muszą mieć możliwość niezakłóconego przesyłania przefiltrowanych przesyłek do podstawowego serwera SMTP.

    Oczywiście, podobnie jak w przypadku pozostałych modułów sieci, tak i w DMZ warto zastosować mechanizm Private VLAN gwarantujący, że serwery WWW, FTP, DNS i SMTP nie będą mogły się ze sobą komunikować inaczej niż za pośrednictwem firewalla.