Sieć jako element bezpieczeństwa IT
luty 25, 2020, 13:43
Obecnie sieć komputerowa jest jednym z najważniejszych elementów infrastruktury niemal każdego przedsiębiorstwa. Usługi takie jak np.: poczta elektroniczna, dostęp do witryn WWW, telefonia IP, systemy ERP, CRM czy również monitoring nie mogą być realizowane bez połączeń sieciowych. Ich brak oznacza awarię, a niedostępność usług najczęściej spore straty. Źle zabezpieczona sieć coraz częściej skutkuje również udanym atakiem hackerskim, którego efektem może być nawet upadłość przedsiębiorstwa.
Zdarza się, że projektujemy i tworzymy sieć od podstaw, kiedy powstają nowe biurowce lub inne obiekty przemysłowe. Przeważnie jednak nasi klienci posiadają już infrastrukturę sieciową, którą na tyle ile jest to możliwe modernizujemy i optymalizujemy, najczęściej z wykorzystaniem obecnych elementów. Czasem wystarczy jedynie rekonfiguracja. Często jest tak, że pomimo iż sieć istnieje projektujemy i implementujemy całość na nowo, niezmiennie starając się optymalizować koszty względem funkcjonalności. Niezależnie od scenariusza cel zawsze pozostaje taki sam: utworzenie infrastruktury sieciowej cechującej się zarówno dużą wydajnością i wysoką dostępnością, jak i odpornością na ataki hackerskie.
Jak powinna wyglądać poprawnie skonfigurowana sieć informatyczna? Czy jest jakiś uniwersalny model? Odpowiedź na te pytania nie jest ani prosta ani jednoznaczna: brzmi zarówno „tak” jak i „nie”. Każde przedsiębiorstwo jest inne, i w każdym przypadku należy podejść do projektu indywidualnie. Istnieją jednak pewne dobre praktyki, ogólne zasady, które sprawdzają się w niemal każdym przypadku. W tym i kilku następnych wpisach skupimy się na rozwiązaniach, które umożliwiają zwiększenie poziomu bezpieczeństwa w stopniu znacznym. Dzisiaj omówimy logiczną segmentację sieci, izolację portów i kontrolę ruchu pomiędzy segmentami.
Segmentacja logiczna sieci – idea podziału jednej przestrzeni na kilka mniejszych nie jest niczym nowym ani odkrywczym. Stosowana jest w wielu różnych aspektach, również dla zwiększenia bezpieczeństwa. Oddziały chorób zakaźnych w szpitalach, bloki w więzieniach czy grodzie w statkach to tylko niektóre z przykładów segmentacji, mającej na celu utrudnienie rozprzestrzeniania się określonego zjawiska na pewnym obszarze. Nie inaczej jest w sieciach komputerowych. Pojedynczy zainfekowany przez Malware system może stać się źródłem infekcji wszystkich pozostałych systemów, wliczając w to zasoby serwerowe. Celem niemal każdego hackera nie jest pojedynczy system, to dopiero pierwszy z etapów włamania. Następnym krokiem przeważnie jest rekonesans, próba przechwycenia haseł dostępowych i przejmowanie kontroli nad kolejnymi systemami. Uzyskanie dostępu do urządzeń sieciowych, daje hackerowi możliwość realizacji podsłuchu w sieci. Po kilku tygodniach, czasem nawet miesiącach zgromadzone informacje i uzyskane uprawnienia mogą doprowadzić do zablokowania praktycznie wszystkich danych wraz z uniemożliwieniem odtworzenia ich z kopii zapasowych. Coraz częstsze jest przejęcie danych, w celu szantażowania przed ich opublikowaniem. Segmentacja sieci ma za zadanie oddzielenie chronionych zasobów od systemów użytkowników końcowych, aby utrudnić atak. Podział sieci może mieć charakter zarówno fizyczny jak i logiczny. W pierwszym przypadku dla każdego segmentu należy zastosować po prostu odrębny przełącznik, jednak jest to rozwiązanie mało elastyczne i rzadko stosowane. Praktycznie wszystkie dostępne na rynku konfigurowalne urządzenia tego typu umożliwiają podział na grupy portów, zwane VLAN-ami (ang . Virtual Local Area Network ). Technologia umożliwia utworzenie na wielu różnych przełącznikach jednej (lub więcej) grupy wybranych portów.
Kontrola ruchu pomiędzy segmentami – sam podział sieci na logiczne sektory, czyli VLAN-y nie wystarczy. Potrzeba dedykowanego systemu, który umożliwi realizację połączeń pomiędzy nimi. Jeżeli priorytetem jest bezpieczeństwo, to najodpowiedniejszym rozwiązaniem jest firewall nowej generacji, wyposażony w mechanizmy analizy ruchu sieciowego. Jednym z nich jest sonda IPS (ang. Intrusion Prevention System), której zadaniem jest porównywanie wszystkich połączeń ze znanymi wzorcami ataków sieciowych oraz komunikacji pomiędzy Malware a jego twórcą. Przesyłane pliki mogą być skanowane na obecność złośliwego kodu aby uniemożliwić udostępnienie go pozostałym użytkownikom.
Izolacja portów – kiedy stacje robocze są oddzielone od chronionych zasobów firewallem i realizowaną przez niego inspekcją połączeń, nadal istnieje możliwość rozprzestrzenianie się infekcji na pozostałe systemy w ramach pojedynczego segmentu. W zdecydowanej większości przypadków nie występuje konieczność aby komputery użytkowników końcowych komunikowały się pomiędzy sobą. Zwykle dane wymienia się poprzez pocztę elektroniczną albo serwer plików, a drukarki obsługiwane są poprzez serwer wydruku. Droga do wszystkich potrzebnych usług wiedzie poprzez firewall i nie ma potrzeby aby komputer łączył się z czymś innym. Można taki efekt uzyskać stosując izolację portów na przełącznikach, lub połączeń w przypadku sieci bezprzewodowej. Złośliwe oprogramowanie w zainfekowanym systemie nie ma możliwości rozprzestrzeniać się poziomo, jego aktywność zostaje wykryta przez mechanizmy analizy połączeń na firewallu. Administrator po otrzymaniu automatycznego powiadomienia może przeskanować system i usunąć zagrożenie.
Jeżeli chcesz dowiedzieć się więcej albo uzyskać pomoc, zachęcamy do skorzystania z bezpłatnej konsultacji