Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Prosty przegląd technologii zabezpieczeń sieciowych

Printer Friendly and PDF

leadHistoria ochrony sieci komputerowych jest historią walki producentów zabezpieczeń z nieposkromioną pasją i nowatorskimi pomysłami domorosłych miłośników ich łamania. Co gorsza, twórcy zabezpieczeń niemal zawsze są o krok w tyle za swoimi przeciwnikami. Metody ochrony sieci powstały przede wszystkim w odpowiedzi na nowe metody włamań. Zapewne jest to najlepsze wytłumaczenie faktu, że na rynku powstało aż tak dużo rozwiązań zabezpieczających sieć. Z niniejszego artykułu można będzie dowiedzieć się, jak wstępnie oszacować, które rozwiązania są odpowiednie dla firmy, a które nie są konieczne.

Aby ułatwić zrozumienie zagadnienia, podajmy kilka przykładów. Wyobraźmy sobie, że wynajęto płatnego mordercę do zabicia prezesa naszej firmy w jego własnym gabinecie w godzinach pracy biura. Zobaczmy, jak poradzą sobie z nim wdrożone przez nas zabezpieczenia. Płatny morderca będzie symbolem techniki ataku na naszą sieć.

Firewall – filtr pakietów

Firewall – filtr pakietów to jakby ogrodzenie wokół siedziby naszej firmy. W ogrodzeniu tym są otwarte furtki, ale tylko w zaplanowanych wcześniej miejscach, które są objęte dodatkową ochroną. Zabójca nie podejdzie więc do okna prezesa w budynku i nie wystrzeli z pistoletu. Nie pozwoli mu na to ogrodzenie. Może wejść tylko przez furtkę, gdzie przy okazji zostanie sprawdzony – będzie wiadomo, do kogo idzie, skąd pochodzi, czy prezes się go spodziewa itd. Dalej będzie musiał iść wyznaczonymi szlakami dla gości. Tak działa firewall – filtr pakietów. Sprawdza on, z jakiego adresu przychodzą dane z sieci oraz na jaki adres i jaki port są kierowane. Jeżeli dany pakiet w sieci pasuje do zakazanych kryteriów, jest odrzucany. Dzięki temu możemy odseparować od świata zewnętrznego nasze prywatne aplikacje sieciowe albo określić, z jakich konkretnych adresów mogą być dostępne. Jak to się robi? Po prostu w firewallu określamy konkretne reguły, na przykład:

  • zezwól na odwiedzenie naszej strony WWW wszystkim możliwym użytkownikom Internetu (reguła ta w systemie typu UNIX wyglądałaby tak: pass in quick on eth0 from any to 216.153.191.138 port = 80 tcp keep state),
  • zezwól pracownikom naszej firmy na odwiedzanie dowolnych stron WWW dostępnych w Internecie poprzez protokół HTTPS (pass out quick on eth1 from $local_users to any port = 443 tcp keep state).

Firewall jest niemal konieczny dla wszystkich firm korzystających z Internetu. Na szczęście jest zaimplementowany w niemal każdym prostym ruterze (również bezprzewodowym). Nawet jeśli nie mamy wewnątrz firmy aplikacji, które chcemy udostępniać przez Internet (WWW, e-mail), warto skorzystać z tego firewalla, gdyż całkowicie odetnie on dostęp do nas z zewnątrz (nawet dostęp do rutera), a ponadto pozwoli pracownikom na korzystanie tylko z konkretnych usług w Internecie.

Firewall aplikacyjny

Bardziej skomplikowane jest wykorzystanie firewalli aplikacyjnych. Staną one na drodze naszemu mordercy, jeżeli udało mu się przejść przez ogrodzenie (bo faktycznie był umówiony z prezesem). Firewall aplikacyjny to jakby sekretarka, która sprawdzi, czy morderca potrafi porozumiewać się tym samym językiem, co prezes. Jeśli nie potrafi, zostanie zawrócony i nie przedostanie się dalej. Jak to działa w rzeczywistości? Firewalle aplikacyjne realizują ideę FPI (Full Packet Inspection) – analizują przychodzące pakiety na poziomie znacznie głębszym niż poziom adresów IP i numerów portów, czyli na poziomie warstwy aplikacji. Dzięki temu do naszego serwera WWW dostaną się tylko pakiety zgodne z protokołem HTTP. Atakujący nie będzie miał pełnej swobody podczas atakowania naszego serwera. Będzie musiał wysłać do niego pakiet zgodny z protokołem HTTP, a to już nie jest takie proste. Na pewno warto zastosować firewall aplikacyjny, jeśli udostępniamy publiczne usługi z sieci, którą sami zarządzamy (jeśli w naszej sieci znajduje się publiczny serwer WWW). Jeżeli nie ma dostępu do naszej sieci z Internetu, w zupełności wystarczy nam prosty firewall – filtr pakietów.

VPN

To zagadnienie zostało poruszone w poprzednim numerze ­Zabezpieczeń, zatem wystarczy telegraficzny skrót. Po pierwsze VPN (Virtual Private Network) wspomaga firewalla w umożliwianiu dostępu tylko wyselekcjonowanym pracownikom, po drugie pozwala na szyfrowanie zdalnej komunikacji. Jest to technologia, której zastosowanie na pewno powinny rozważyć te firmy, które chcą umożliwić swoim pracownikom zdalny dostęp do prywatnych zasobów przedsiębiorstwa.

IPS (Intrusion Prevention System)

Powiedzmy, że wspomniany potencjalny morderca legalnie przedostał się przez ogrodzenie i mówi tym samym językiem, co nasz prezes. Czy zrobiliśmy wszystko, co było w naszej mocy, by zagwarantować prezesowi bezpieczeństwo? Absolutnie nie! Zlecamy więc zadanie kontrolowania gościa ochroniarzowi. Każdy niewłaściwy ruch skończy się powaleniem napastnika na podłogę, a następnie doprowadzeniem go przed wymiar sprawiedliwości. Zgodnie z taką zasadą działają rozwiązania IPS (Intrusion Prevention System), które wychwytują w przychodzących pakietach złośliwy kod. Oczywiście urządzenia IPS mogą zawierać w sobie moduł firewalla aplikacyjnego. W dzisiejszych czasach bardzo silnie dąży się do integracji wielu funkcji w jednym urządzeniu (czego owocem jest duży asortyment produktów UTM – Unified Threat Management). Z urządzenia IPS skorzystamy w bardzo podobnych sytuacjach, co z firewalla aplikacyjnego. Oczywiście musi to wiązać się z większymi kosztami ochrony informacji, a więc służyć do ochrony bardziej wrażliwych danych. Ochroniarz także może być lepszy (i z reguły droższy) albo gorszy (z reguły tańszy), ale czy na pewno taki ochroniarz wystarczy w każdym przypadku? Przecież morderca może być szybszy od ochroniarza. Może też najpierw powalić (lub oszukać) ochroniarza, a potem bez problemu zabrać się za prezesa. Z tego powodu często potrzebny jest szereg innych zabezpieczeń, które będą wzajemnie wspierać się i razem obniżać ryzyko utraty prezesa.

NAC (Network Access Control)

A co by było, gdybyśmy każdego gościa w naszej firmie prosili o przedstawienie swojego świadectwa niekaralności albo wręcz o jakiś certyfikat potwierdzający uczciwość? Z pewnością mogłoby to odsiać część przestępców, którzy chcieliby odwiedzić naszego prezesa. Mniej więcej tak działają rozwiązania typu Network Access Control. Zanim ktoś zostanie wpuszczony do naszej sieci, będzie najpierw dokładnie sprawdzony – dostęp do niej będzie wiązał się z koniecznością zainstalowania najnowszych aktualizacji oprogramowania, łatek, zaktualizowania bazy wirusów itp. Rozwiązania NAS nie są tak popularne jak wspomniane wcześniej technologie, ale ich popularność ciągle rośnie. Ich wdrożenie powinno wynikać z analizy ryzyka przeprowadzonej w firmie. Większość administratorów sieci musi nauczyć się zastosowania tych rozwiązań – początki mogą być trudne.

Kontrola użytkowników

Załóżmy, że wejście dla gości mamy już tak obwarowane, że tylko najlepsi na świecie mordercy będą w stanie dostać się do prezesa i zlikwidować go. Na tych najlepszych mało kogo stać, więc ryzyko utraty naszego prezesa maleje. Znacznie prostsze wydaje się włożenie bomby do nesesera wiceprezesa i zdetonowanie jej w czasie spotkania zarządu. Żadna z wcześniej omówionych technologii nie jest w stanie temu zapobiec. Nie rozkładajmy jednak rąk. Zainstalujmy przy wejściu do firmy detektor materiałów wybuchowych, który będą mijać również wszyscy nasi pracownicy. O jakim rozwiązaniu teraz mówimy? Oczywiście o systemach antywirusowych, które regularnie muszą przeczesywać zasoby informacyjne w naszej firmie. Jest duża szansa na to, że coś wykryją, zdezaktywują i zapobiegną stratom.

Zostaje jeszcze cały szereg produktów służących do kontroli pracowników, dzięki którym:

  • znacznie zmniejsza się prawdopodobieństwo, że zarażą oni swoje komputery, buszując w Internecie,
  • bardziej poświęcą się swojej pracy, bo nie będą mieli dostępu do portali społecznościowych, z pornografią, z grami, do komunikatorów, sieci P2P itp.

Kwestie te rozwiązują takie technologie, jak Web Filtering, Anti-P2P, Anti-IM, Anti-VoIP, które przeważnie są dostępne dzięki jednemu urządzeniu. Rozwiązania te na pewno warto wdrażać równolegle z typowymi zabezpieczeniami przed atakami z zewnątrz. W przeciwnym wypadku duża dysproporcja skłoni atakujących do wybrania znacznie prostszych rozwiązań.

Podsumowanie

Istnieje wiele różnych sposobów na zabezpieczenie naszej sieci zarówno przed atakami z zewnątrz, jak i przed tymi z komputerów naszych pracowników. Niech zwykły rozsądek poparty znajomością tych rozwiązań zadecyduje o tym, które z nich należy wybrać w danym przypadku.

Jacek Gawrych

Zabezpieczenia 3/2010

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony