Inspekcja, detekcja, protekcja

W wielu firmach firewall jest jedynym zabezpieczeniem stosowanym do ochrony sieci lokalnych. Nie sprawdza się on jednak w przypadku, gdy włamania dokonywane są z wnętrza sieci. Dlatego administratorzy powinni stosować również inne elementy ochrony, a także właściwie zaprojektować sieć LAN, tak by nie była możliwa jakakolwiek ingerencja w przesyłane dane.

W wielu firmach firewall jest jedynym zabezpieczeniem stosowanym do ochrony sieci lokalnych. Nie sprawdza się on jednak w przypadku, gdy włamania dokonywane są z wnętrza sieci. Dlatego administratorzy powinni stosować również inne elementy ochrony, a także właściwie zaprojektować sieć LAN, tak by nie była możliwa jakakolwiek ingerencja w przesyłane dane.

Zanim rozpocznie się dyskusję o właściwym sposobie zabezpieczania sieci lokalnych, trzeba sobie uświadomić, że atakiem są zagrożone nie tylko dane przechowywane na serwerach, ale również wszystkie urządzenia sieciowe: routery, przełączniki i komputery użytkowników. Wszystkie mogą bowiem stać się celem ataku, nie zawsze związanego z kradzieżą danych, a najczęściej z sabotażem mającym na celu destabilizację pracy sieci. Najwięcej zagrożeń można wyeliminować, korzystając z funkcji bezpieczeństwa oferowanych w sprzęcie sieciowym.

Cele ataku

Jednym z najbardziej zagrożonych elementów sieci są routery. Stanowią bardzo atrakcyjny kąsek dla włamywaczy, gdyż to one kontrolują, które podsieci i komputery oraz w jaki sposób uzyskują dostęp do sieci. Uzyskanie możliwości modyfikacji konfiguracji routerów znacznie ułatwia penetrację sieci. Producenci routerów udostępniają wiele dokumentów technicznych, zawierających wskazówki dotyczące zabezpieczania tych urządzeń (szczegóły w ramce - Zabezpieczanie routerów).

Znacznie gorzej są udokumentowane zagrożenia oraz możliwości ich likwidacji w przypadku przełączników sieciowych (zarówno drugiej, jak i trzeciej warstwy). Chociaż oferują one możliwość two- rzenia sieci wirtualnych, to w rzeczywistości mechanizm VLAN nie zabezpiecza standardowo przed niepożądaną wymianą informacji między komputerami znajdującymi się w tej samej podsieci. Nie chroni więc przed zagrożeniami ze strony pracowników firmy bądź włamywaczy, którzy przejmą kontrolę nad jednym z komputerów lub serwerów.

Producenci sprzętu sieciowego rozszerzają więc możliwości VLAN o realizację mechanizmu Private VLAN (nazwę tę stosuje Cisco, ale powołują się również na nią np. Avaya i Foundry Networks). Pozwala on określić, które porty sieciowe w ramach sieci VLAN będą mogły komunikować się z wszystkimi urządzeniami w tej samej sieci wirtualnej (tzw. porty Promiscuous VLAN), a które mogą się komunikować wyłącznie z takimi uniwersalnymi portami Promiscuous. Dzięki temu możliwe jest zbudowanie takich podsieci VLAN, w których np. , WWW i DNS mogą odpowiadać na żądania spoza ich sieci wirtualnej - przesyłane przez port routujący należący do tego samego VLAN-u - ale nie mogą się komunikować bezpośrednio ze sobą (są podłączone do portów typu Isolated VLAN). Jeśli w takim przypadku hakerowi uda się złamać zabezpieczenia serwera WWW, to nie będzie on mógł wykorzystać go do ataków na inne komputery w tej samej sieci wirtualnej.

Eliminacja zagrożeń

Popularne niegdyś oprogramowanie typu sniffer umożliwiało wpięcie komputera w dowolnym miejscu sieci i "podsłuchiwanie" wszyst-kich przepływających danych. Ich późniejsza analiza umożliwiała np. odnalezienie identyfikatorów i haseł przesyłanych w postaci tekstowej. Obecnie dzięki zastosowaniu sie ci opartych na przełącznikach możliwości zastosowania snifferów znacznie zmalały, gdyż włamywacz ma możliwość "podsłuchania" tylko danych przesyłanych tym portem sieciowym, do którego jest podłączony jego komputer.

Zabezpieczanie routerów

Kroki, które należy podjąć, by zabezpieczyć routery przed nie autoryzowanym dostępem i modyfikacją konfiguracji:

  • Wyłączyć dostęp za pośrednictwem funkcji Telnet

  • Wyłączyć dostęp za pośrednictwem protokołu SNMP

  • Weryfikować dostęp do routera z wykorzystaniem mechanizmu TACACS+

  • Wyłączyć wszystkie zbędne usługi realizowane przez router

  • Wymagać obustronnej identyfikacji urządzeń w procesie aktualizacji informacji o routingu z innymi routerami

    <div align="right">Źródło: Cisco Systems</div>

  • Techniką często wykorzystywaną przez włamywaczy jest IP Spoofing. W dużym uproszczeniu, polega ona na tym, że haker fałszuje źródłowy adres IP, tak by pakiety wyglądały na wysłane z innego komputera. Jeśli serwer otrzyma tak sfabrykowane pakiety - odpowie pod znajdujący się w pakiecie adres nadawcy. IP Spoofing może być wykorzystywany do podszycia się pod inny komputer, jeśli włamywacz potrafi zmodyfikować tablice routingu w taki sposób, by otrzymywać również odpowiedzi serwera pod własnym numerem IP, mimo, że są one kierowane pod numer sfałszowany. Najczęściej jednak wykorzystuje się go do przeprowadzania rozproszonych ataków DoS (inaczej Distributed DoS).