Techniczne, prawne i organizacyjne aspekty bezpieczeństwa teleinformatycznego.
Zaimplementowanie oraz utrzymanie bezpieczeństwa teleinformatycznego w korporacjach na odpowiednim poziomie może przynieść wymierne korzyści finansowe poprzez zapewnienie wysokiej dostępności do wymaganych usług nawet w przypadkach prób ataku. Bezpieczeństwo w sieciach komputerowych obejmuje jednak więcej aspektów oprócz typowych prób przejęcia systemu czy uniemożliwienie dostępu do serwisów poprzez atak DoS (ang. Denial of Service). Wdrażając politykę bezpieczeństwa należałoby zastanowić się gdzie czekają na nas niebezpieczeństwa i jak możemy sobie z nimi poradzić. Rynek w obecnych czasach rozwija się bardzo szybko i oferuje nam coraz to nowsze rozwiązania, które przychodzą nam z pomocą.
Zabezpieczenie się przed niepowołanym dostępem z zewnątrz sieci jest oczywiste i najczęściej oprócz dostępu do strefy zdemilitaryzowanej i szyfrowanego dostępu poprzez tunele VPN przygotowane listy dostępowe na firewallach nie przepuszczą typowych prób połączeń z wewnętrznymi serwisami. Hakerzy potrafią jednak wykorzystać sieć zainfekowanych komputerów tzw. Botnet w celu przeprowadzenia rozproszonego ataku DoS (ang. Distributed Denial of Service), który skutecznie potrafi unieruchomić firewall bądź serwer ze strefy DMZ wysyłając ogromny ruch, którego urządzenia nie są w stanie obsłużyć. Tego typu atak został przeprowadzony na serwery rządowe w celu zaprotestowania przeciwko podpisaniu porozumienia ACTA. Jeżeli pod swoją opieką mamy serwisy, które są narażone na tego typu atak należy rozważyć wdrożenie rozwiązania Anti-DDoS, które może być dedykowanym urządzeniem lub zaimplementowaną funkcjonalnością w firewallach. Dedykowane rozwiązania potrafią rozpoznać i wstrzymać do kilkuset gigabitów niepowołanego ruchu umożliwiając przy tym sprawny przepływ poprawnych danych. Warte uwagi są systemy Anti-DDoS firmy Huawei, które mają bardzo wysoką wydajność. Modele dla średnich przedsiebiorstw z serii AntiDDoS1000 są w stanie zablokować ruch AntiDDoS do 5Gbps (3 Mpps). Ciekawostką jest również seria AntiDDoS8000, która przy użyciu swoich kart z nową architekturą sprzetową są w stanie zablokować ruch od 20Gbps do 960Gbps. Na ten moment takiej wydajności nie ma żaden inny sprzęt na rynku.
Zabezpieczenie sieci od zewnątrz jest dość typowe i odnosi się jedynie do punktu styku z Internetem. Wewnątrz sieci możemy mieć wiele grup użytkowników, wiele segmentów sieci i ciągle zmieniające się reguły dostępu do serwisów. Wymaga to dobrego podziału struktury, przypisania uprawnień do odpowiednich podsieci i stałej rzetelnej pracy administratorów. Nie jest to łatwe gdyż sieć musi być coraz bardziej elastyczna i umożliwiać swobodne przemieszczenie się po korporacji z urządzeniami przenośnymi. Tradycyjny sposób przypisywania uprawnień przestaje się sprawdzać i kończy się tym, że reguły dostępowe powielane są na wszystkie segmenty, co obniża bezpieczeństwo. Na rynku dostępne są urządzenia określane jako firewalle następnej generacji. Podstawową różnicą nowej generacji od poprzedniej jest możliwość przypisywania uprawnień do konkretnego użytkownika lub grupy użytkowników utworzonych na serwerze usług katalogowych. Umożliwia to utrzymanie tych samych reguł bezpieczeństwa bez znaczenia, do którego segmentu sieci dany użytkownik jest podłączony. Dodatkowo polityka nie kończy się na określeniu portu i adresu, do którego użytkownik ma dostęp. Nowe firewalle stają się wielofunkcyjnymi urządzeniami i umożliwiają rozpoznanie aplikacji, które próbują połączyć się z komputera użytkownika z siecią Internet. Administrator ma możliwość zablokowania dostępu lub przypisania określonej przepustowości łącza aplikacjom typu peer-to-peer, komunikatorom internetowym czy usługom wideo lub głosowym. Dodatkowo możliwe jest określenie, do jakich grup stron internetowych użytkownik ma mieć dostęp. Grupy te określane są w bazie aktualizowanej na bieżąco lub poprzez analizę zawartości treści. Ruch może być również sprawdzany pod kątem zawartości wirusów oraz chroniony przed typowym spamem poczty elektronicznej. Funkcjonalności antywirusowe wykorzystują heurystyczne mechanizmy umożliwiające inteligentne wykrycie wirusów nieodpowiadającym jeszcze konkretnym sygnaturom zawartym w bazie antywirusowej. Pod kątem zabezpieczenia wewnętrznej sieci oraz styku z Internetem dobrze sprawdziłyby się Firewalle NGFW z serii USG6000 firmy Huawei. Najtańszy firewall z tej serii ma przepustowość wystarczającą do zastosowania w małych i średnich korporacjach. USG6320 ma wydajność do 2Gbps dla funkcji firewall oraz aż 1Gbps przy uruchomionych wszystkich usługach (AntyVirus, Intrusion Prevention System, Application Identyti Identification).
Prawidłowo wdrożone systemy wykrywania szkodliwego ruchu skutecznie powstrzymają typowe ataki. Żaden system nie jest jednak w stu procentach bezpieczny, więc należy zadać pytanie, co w przypadku kiedy dojdzie do bezprawnego zdarzenia. Niektóre podmioty np. dostawcy usług internetowych zobowiązani są do trzymania informacji o połączeniach w celu zidentyfikowania użytkownika łączącego się na dany zasób sieciowy w określonym czasie. Informacje te należy trzymać przez okres dwóch lat i zwykły serwer syslog wystarczy do zbierania i archiwizacji takich danych. Analiza zdarzeń zbieranych ze wszystkich urządzeń jest jednak bardzo trudna gdyż jest ich po prostu bardzo dużo. Możemy nawet nie być świadomi, że doszło do jakiegoś ataku. Aby znacznie zwiększyć prawdopodobieństwo, że administrator zostanie poinformowany o nietypowym zdarzeniu należy rozważyć wdrożenie systemu korelacji zdarzeń, który potrafi przeanalizować tysiące informacji z różnych urządzeń i wygenerować raport przedstawiający jedynie niezbędne informacje ułatwiające przedstawienie procesu ataku. Warto tutaj zwrócić uwagę na system zunifikowany, który oprócz informacji o zdarzeniach daje nam możliwość zarządzania urzadzeniami uruchomionymi w naszej firmie. Ciekawym rozwiązaniem jest system eSight firmy Huawei, który ma wbudowanych wiele modułów. Umożliwia zarządzanie nie tylko przełącznikami, routerami czy firewallami, ale również serwerami, macierzami, urządzeniami Unified Communications, Telepresence, siecią WLAN, MPLS, Tunelami VPN, łączy się również ze środowiskiem wirtualnym VMWare aby w łatwy sposób przenosić polityki na urzadzeniach sieciowych wraz z przeniesieniem systemów na inne serwery. Firma Huawei dba o to aby wdrożenie tego systemu było możliwe i opłacalne w zróżnicowanym środowisku. Dlatego system eSight jest w stanie zarządzać urządzeniami różnych producenów
Systemy informatyczne umożliwiają analizowanie danych generowanych przez użytkownika, możemy określić co pracownik robił w danym momencie w sieci. Jeśli w biurze jest wdrożona centralnie zarządzana sieć bezprzewodowa z funkcjonalnością triangulacji możemy nawet prześledzić jaka była ścieżka przemieszczania się pracownika. Systemy Video Intelligence potrafią wykrywać nietypowe zachowania ludzi w zasięgu kamer. Nasze działania są coraz dokładniej sprawdzane i analizowane. Pozostaje nam jednak zaakceptować taką kolei rzeczy. Żadne z tych systemów nie zostaną przecież użyte przeciwko nam póki stoimy po właściwej stronie prawa.
Autor: Paweł Wachelka, IP Product Manager, HUAWEI