Image
3.1.2012 0 Comments

Bezpečnosť oddelených sietí

network_security.jpg Fyzické oddelenie počítačovej siete je jedno z možných riešení, ako zabezpečiť veľmi citlivé siete. Oddelené siete využívajú prevažne bezpečnostné zložky. Nájdeme ich zvyčajne v armáde, policajných zložkách či tajných službách. No aj celý rad komerčných organizácií disponuje takýmito sieťami. Ide napríklad o siete v priemyselných podnikoch, kde riadia počítače výrobný proces. Základná myšlienka je oddeliť firemnú sieť alebo jej časť od internetu tak, aby nebolo možné komunikovať akýmkoľvek spôsobom priamo. Na prvý pohľad je to ideálne riešenie na dosiahnutie bezpečnosti dát na takejto sieti. Je to však naozaj tak, že dáta v oddelených sieťach sú bezpečné?

Aj oddelené siete môžu byť napadnuté, ak sa nedodrží množstvo zásad týkajúcich sa používania a zabezpečenia takejto siete. Aj tu sa ukazuje, že bezpečnosť sa netýka len jedného komponentu, ale o celého radu vrstiev, ktoré v konečnom dôsledku rozhodujú o bezpečnosti. Pozrime sa preto na niektoré zásadné požiadavky na oddelenú sieť, aby sme ju mohli považovať za bezpečnú.

„Kam nevedú drôty, tam sa packety nedostanú."
(Citát neznámeho bezpečnostného konzultanta.)

Fyzická bezpečnosť
Tým, že sme sa rozhodli našu sieť fyzicky oddeliť od internetu, sme zabránili tomu, aby sa útočník vedel do siete pripojiť vzdialene. Zároveň však treba zabezpečiť to, aby sa k prístupovým bodom siete nikto nedostal fyzicky. Fyzické zabezpečenie pri rozsiahlejších sieťach je ťažšia úloha. Útočník môže osobne preniknúť do budovy a pripojiť svoj počítač do oddelenej siete. Možno si aj prestaviť, že útočník do siete pripojí len malý bezdrôtový smerovač, ktorý niekde schová (pod stôl alebo za skriňu). Zaistenie fyzickej bezpečnosti objektov, kde sa prípojné body nachádzajú, je preto kľúčové. Kontrola pohybu zamestnancov aj návštev bude vyžadovať zvýšenú pozornosť. Proti nelegálnemu pripojeniu cudzorodých zariadení sa možno brániť niektorou z techník Network Access Control. Môžete využiť napríklad overovanie 802.1x, ktoré však môže predstavovať problém na starších systémoch alebo na systémoch, ktoré nedovoľujú inštalovať rozširujúci softvér. Ďalšia možnosť je uzamknutie portov na prepínači na konkrétne MAC adresy (port security), ale aj tam sa môžu vyskytnúť problémy. Základom je mať prepínače, ktoré tieto konfigurácie umožňujú.

Bezdrôtové technológie - veľký problém
Ako sme už naznačili v predchádzajúcom odseku, útočníkovi, ktorý fyzicky prenikne k sieti, môže stačiť doslova pár minút na to, aby do niektorého zo sieťových portov pripojil hoci bezdrôtový smerovač a veľmi ľahko a efektívne tak vytvoril bezdrôtové premostenie do oddelenej siete. Je teda zrejmé, že citát na začiatku neplatí tak úplne doslova. Tým, kto nám spustí bezdrôtový „most", nemusí byť len útočník zvonku, ale aj niekto zo zamestnancov organizácie. Nemusí sa tak stať vždy s úmyslom poškodiť bezpečnosť, môže ísť čisto len o ľudskú pohodlnosť. Používatelia i administrátori prevádzky si občas chcú urobiť život jednoduchším a do siete tak zapájajú podobné bezdrôtové zariadenia. Napríklad preto, aby nemuseli chodiť cez chodbu, keď potrebujú niečo nastaviť. Mostom do oddelenej siete môže byť aj bežný prenosný počítač so zapnutým Wi-Fi alebo bluetoothovým rozhraním. A ani tu nemusí ísť o úmysel narúšať bezpečnosť, ale len nevedomé správanie bežného používateľa. Proti nelegálne nainštalovaným bezdrôtovým vstupom sa možno brániť mnohými spôsobmi. Prvá vrstva bezpečnosti by mala byť určite na úrovni fyzického portu, ako sme už spomenuli. Na úrovni jednotlivých koncových staníc je vhodné nastaviť firewallové politiky tak, aby nebolo možné komunikovať cez bezdrôtové adaptéry a zároveň cez adaptéry fyzicky. Nakoniec sa možno vybaviť detektormi bezdrôtových sietí, či už vo forme špecializovaných zariadení, alebo v podobe malých PDA so softvérom na vyhľadávanie, napríklad aj skrytých sietí. Existujú komerčné detektory v podobe jednoúčelových zariadení či špeciálnych kariet Wi-Fi do počítačov. Jednoduchý detektor si možno postaviť z kvalitnej bezdrôtovej karty a staršieho počítača s OS Linux a softvéru, ako je napríklad Kismet. Nezabúdajme, že technológií Wi-Fi je veľké množstvo a treba mať vybavenie, ktoré zachytí všetky dostupné štandardy, a to aj na zakázaných kanáloch.

Raz v oddelenej sieti, inokedy zase v internete
Častý problém je pripájanie zariadenia, ktoré sa pripája do internetu, do oddelenej siete. Ak dochádza k striedavému zapájaniu notebooku z jednej do druhej siete, stráca tak oddelenosť siete praktický zmysel. Možno si veľmi ľahko predstaviť, že útočník sa zameria práve na tieto notebooky. Podarí sa mu ich kompromitovať a vybaviť vhodným útočným softvérom tak, aby notebook v prípade zapojenia do oddelenej siete získaval informácie a po pripojení do verejnej siete ich odovzdal útočníkovi. Je nevyhnutné, aby do siete boli zapojené iba legálne zariadenia a zároveň týmto zariadeniam bolo znemožnené, aby sa mohli pripojiť do inej ako vlastnej siete. To možno opäť dosiahnuť potrebnou politikou osobného firewallu. Príkladom takéhoto útoku bol červ Stuxnet, ktorý napádal počítače s vývojovým prostredím na ovládanie priemyselných počítačov a cez ne potom infikoval upraveným ovládacím programom priemyselný počítač. Tu je, samozrejme, otázka, ako zabezpečiť výmenu dát medzi oddelenou sieťou a „zvyškom sveta". Vymieňať by sa mali len dátové súbory. Ale ani to nie je zárukou bezpečnosti, pretože dátové súbory tiež môžu niesť útočné kódy. Preto by v oddelenej sieti mala existovať procedúra na ich kontrolu. Súbor sa môže na napadnutom stroji zdať v poriadku, až preskúmaním na nenakazenom systéme sa dajú odhaliť jeho modifikácie.

Čo s vírusmi, červami a ďalšou háveďou?
Najsilnejší vektor šírenia v dnešnej dobe je nepochybne webové prostredie. Prevažná väčšina nebezpečného kódu sa dostáva do staníc stiahnutím z webu či napadnutím prehliadača cez ich zraniteľnosť. Druhý vektor je stále ešte elektronická pošta. No objem škodlivého kódu šírený cez e-mailovú službu klesá. V oddelenej sieti nás tieto dva vektory trápiť nemusia, ostáva nám tak ďalší v poradí, a to vymeniteľné médiá, v prvom rade USB flash disky. Kontrola či blokácia vymeniteľných médií je teda dôležitá súčasť obrany. V súčasnosti sa väčšina škodlivého kódu po napadnutí stroja bude snažiť komunikovať do internetu. Cieľom útokov je zvyčajne vyťaženie dát, prípadne procesorového výkonu. Dáta sa získavajú z napadnutých systémov a odosielajú majiteľovi útoku. V oddelenej sieti tento klasický prístup nepochybne zlyhá.

Trendom dnešných nebezpečných kódov je však ich vysoká špecializácia. Útoky sú písané pre konkrétnu obeť. Je teda možné, že staršie plošné hrozby zlyhajú, ale moderné, napísané priamo na našu sieť, môžu byť potenciálne úspešné. Nebezpečný kód môže využiť práve spomenuté pochybenia ako bezdrôtový „most" či notebook pripájaný do oboch sietí. Nikdy sa nespoliehajte na to, že nebezpečný kód do našej siete nemôže preniknúť. Antimalvérová ochrana má zmysel ako ďalšia vrstva bezpečnosti. Detekcia nebezpečného kódu vnútri našej siete je známkou toho, že ostatná ochrana zlyhala. Z rovnakého dôvodu je dobré mať inštalované sieťové systémy prevencie narušenia. Každá ďalšia vrstva posilňuje celkovú úroveň ochrany. V niektorých prípadoch nemožno na koncovej stanici nasadiť akýkoľvek bezpečnostný softvér, potom je sieťový systém prevencie narušenia nevyhnutnou súčasťou na dosiahnutie aspoň určitej úrovne bezpečnosti.

Nebezpečný kód nemusí mať za úlohu vyniesť zo siete iba informácie, ale môže byť písaný tak, aby spôsobil škody na dátach alebo napríklad vo výrobe.

Záplaty
Záplatovanie v oddelených sieťach je rovnako nevyhnutné ako v sieťach komunikujúcich s internetom. Dôvody na aplikovanie pravidelných záplat sú veľmi podobné ako v prípade používania antimalvérových riešení. Škodlivý kód, ktorý vnikne do oddelenej siete, sa bude chcieť šíriť rovnako ako v akejkoľvek sieti a bude zneužívať zraniteľnosti v aplikáciách či operačných systémoch. Záplata je teda ďalšia obranná vrstva, ktorá má za úlohu blokovať šírenie útočných kódov. Procedúra aktualizácií aplikácií a operačných systémov bude vyžadovať veľmi prísny režim a dohľad. V tomto prípade sa nevyhneme presunu spustiteľných súborov z internetovej zóny do oddelenej zóny. Tento proces by sa mohol stať terčom útoku.

Záver
Fyzické oddelenie prináša okrem zvýšenia bezpečnosti aj celý rad obmedzení pre používateľov. Vždy treba veľmi dobre zvážiť, čo nám opatrenie prináša a čo nám zároveň berie. Určite nemožno fyzicky oddelené siete považovať za bezpečné len z toho dôvodu, že k nim nevedú priamo „drôty". Na to, aby bola sieť naozaj bezpečná, treba urobiť celý rad krokov a použiť množstvo technológií. Každý dobre zabezpečený systém sa skladá z mnohých vrstiev bezpečnosti. Fyzické oddelenie siete je len jedna z nich. Väčšina zásad, ktoré sme tu spomenuli, platí aj pre siete, ktoré sú „iba" za firewallom. V oddelenej sieti sú však možno ešte dôležitejšie, pretože ich porušovaním strácame tú nákladne zaplatenú výhodu oddelenej siete.

Tvrdenie, že „kam nevedú drôty, sa packety nedostanú", je možno čiastočne pravdivé, ale v konečnom dôsledku samo oddelenie nerieši kvalitnú komplexnú bezpečnosť.

martin_meduna.jpg Martin Meduna
Autor pracuje ako bezpečnostný konzultant, Symantec.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Bezpečnosť 1

Ministri dopravy únie schválili prvé celoeurópske bezpečnostné pravidlá pre drony

05.12.2016 00:10

Ministri dopravy krajín Európskej únie schválili úpravu pravidiel v oblasti civilného letectva. Bezpečnosť v doprave bola pritom hlavnou témou zasadnutia, ktorého sa za predsedajúcu krajinu zúčastnil ...

Bezpečnosť 1

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá