Bezpieczeństwo LAN

Bezpieczeństwo LAN

Prezentujemy artykuł z prak­ty­czną imple­men­tacją mech­a­nizmów zabez­pieczeń sieci LAN…

W przykład­owej sieci zna­j­du­je się 40 użytkown­ików sieci. Sieć jest zbu­dowana w topologii gwiazdy, jest to sieć typu FastEthernet. 2 użytkown­ików sieci pracu­je w wydzielonej stre­fie VLAN w dziale księ­gowoś­ci, pozostali użytkown­i­cy w drugiej wydzielonej stre­fie VLAN. Do przełączni­ka przyłąc­zony jest również ser­w­er który zapew­nia zaso­by do sieci lokalnej. Sieć posi­a­da dostęp WIFI za pośred­nictwem routera Linksys, sprzę­towy skan­er anty­wiru­sowy, router, fire­wall, sys­tem wykry­wa­nia i zapo­b­ie­ga­nia atakom IDS/VPS.

I. Ochrona antywirusowa

Jednym z pod­sta­wowych i koniecznych zabez­pieczeń sieci kom­put­erowej jest ochrona anty­wiru­sowa. Na rynku kom­put­erowym jest dostęp­nych szereg pro­gramów anty­wiru­sowych. Istnieją też dar­mowe rozwiąza­nia przez­nac­zone dla użytkown­i­ka prywatnego/domowego.

Najczęściej spo­tykany­mi rozwiąza­ni­a­mi są pro­duk­ty w postaci opro­gramowa­nia które instalowane jest na każdej stacji roboczej i/lub ser­w­erze. Od pewnego cza­su na rynku dostęp­ne są też rozwiąza­nia sprzę­towe instalowane na styku sieci LAN/WAN. Chronią one całą sieć nieza­leżnie od podłąc­zonych do nich urządzeń (przyp. w ten sposób mogą być chro­nione telefony/smartfony włączane do sieci LAN).

Oprogramowanie anty­wiru­sowe oprócz wykry­wa­nia wirusów, skanu­je zaso­by sieciowe w poszuki­wa­niu robaków, rootk­itów, exploitów. Ważnym kry­teri­um przy wyborze anty­wirusa jest jego inte­grac­ja z przeglą­dark­a­mi czy też z klien­ta­mi pocz­ty elek­tron­icznej (np. Outlook Express). Istnieje gru­pa anty­wirusów która inte­gru­je się z usługa­mi ser­werowy­mi np. ochrona serwerów/skrzynek pocz­ty elek­tron­icznej np. Microsoft Exchange Server.

II. Ochrona zasobów udzi­ału ser­w­era LAN.

W przy­pad­ku kiedy serwer/stacja robocza udostęp­nia usłu­gi w postaci udzi­ałów, ważnym tem­atem jest odpowied­nie nadanie uprawnień do plików i kat­a­logów. Na ser­w­erze Windows czy też Linux/Samba ist­nieją mech­a­nizmy tworzenia grup użytkowników/użytkowników i przy­dziela­nia im odpowied­nich uprawnień do kat­a­logów i plików.

Możemy na przykład stworzyć udzi­ał \\księ­gowość i przy­dzielić uprawnienia dla grupy księ­gowi, tak aby inni użytkown­i­cy w fir­mie nie mieli dostępu do zasobów w tym udziale. Dokumenty dla innych nie będą widoczne/dostępne. Podobnie moż­na stworzyć udzi­ały dla innych grup użytkown­ików w fir­mie. Dodatkowo moż­na nadawać prawa tylko do odczy­tu lub pisa­nia do poszczegól­nych kat­a­logów i plików na serwerze.

Z udostęp­ni­an­iem wiąże się też poję­cie mapowa­nia dysków. Jest to mech­a­nizm który przyp­isu­je literkę dysków udzi­ałowi. Należy zwró­cić uwagę że udostęp­ni­ane zaso­by lub mapowane dys­ki mogą ulec destrukcji poprzez zawiru­sowywanie. Należy chronić je poprzez zain­stalowanie wcześniej wspom­ni­anych sys­temów antywirusowych.

Jednym z mech­a­nizmów zabez­pieczeń udzi­ałów jest ich ukry­wanie w sieci tak aby użytkown­i­cy nie wiedzieli o ich ist­nie­niu. Realizuje się to poprzez  nadanie w nazwie udzi­ału liter­ki $ . Udostępniany fold­er będzie miał postać np. \\dane$ i nie będzie widoczny w sieci. Oczywiście moż­na zwięk­szyć bez­pieczeńst­wo poprzez nadanie uprawnień grupom użytkown­ików i użytkown­ikom oraz nadanie uprawnień do plików i katalogów.

Ważnym ele­mentem ochrony zasobów jest sama ochrona poprzez wymienione mech­a­nizmy ale wzmoc­nić ochronę jak też swo­ją pozy­cję jako admin­is­tra­to­ra moż­na poprzez zas­tosowanie logowa­nia tego co na takim ser­w­erze plików się dzieje. W ten sposób może­my się na przykład dowiedzieć kto usunął kat­a­log „spra­woz­da­nia” z serwera.

III.  Zapora firewall

Następnym z mech­a­nizmów zabez­pieczeń sieci jest zapo­ra ogniowa (ang. Firewall). Ochrona sieci typu zapory sieciowej  to  spec­jalne urządze­nie  i/lub opro­gramowanie bloku­jące nieupoważniony dostęp z sieci pub­licznych i Internetu do wewnętrznej sieci LAN oraz zabez­piecza­jące ją przed nieuprawnionym wypły­wem danych na zewnątrz.

Nawet sys­temach Windows XP ist­nieje zapo­ra sieciowa. Warto ją wyko­rzys­tać tym bardziej że jest ona domyśl­nie włąc­zona. Jako admin­is­tra­tor moż­na ją tak skon­fig­urować aby prze­puszcza­ła określony typ ruchu w spre­cy­zowanym kierunku (do lub na zewnątrz sieci).

Istnieją typy zapór stosowanych na ser­w­er­ach np. ISA/Windows lub iptables/Linux. Pozwalają one na bard­zo dokład­ną real­iza­cję założeń bez­pieczeńst­wa sieci.

Odrębną grupą rozwiązań są rozwiąza­nia sprzę­towe. Firmy takie jak na przykład CISCO lub 3COM ofer­u­ją fire­walle w pudełku. Ich zaletą jest niewąt­pli­wie nieza­wod­ność i trud­niejsza podat­ność na ata­ki niż fire­walle softwarowe.

Temat zapory ogniowej w środowisku sieci kom­put­erowych to dzisi­aj konieczność. Unika się w ten sposób wła­mań do sieci kom­put­erowej i ingerencji w nią z zewnątrz. Oczywiście jeżeli zapo­ra jest dobrze skon­fig­urowana lub też nie ist­nieją mech­a­nizmy w postaci złośli­wego opro­gramowa­nia w postaci agen­tów w sieci.

Przykład kon­fig­u­racji sieci – CISCO PIX 501 Firewall

The Cisco PIX 501 jest kom­pak­towym urządze­niem stosowanym dla firm o małej iloś­ci użytkown­ików. Zakładamy, że w naszej sieci licz­ba użytkown­ików to 40. PIX 501 posi­a­da 4 porty Fast Ethernet (10/100) jako przełącznik sieciowy (porty inter­fe­jsów wewnętrznych) i jeden port Fast Ethernet (10/100) (inter­fe­js zewnętrzny). Ten fire­wall jest ide­al­ny do zabez­pieczeń wysoko­prze­pus­towych sieci w biu­rach. Cisco PIX 501 umożli­wia 60 Mbps prze­pus­towoś­ci fire­wal­la, 3 Mbps ruchu VPN (3DES) i  4.5 Mbps ruchu VPN typu AES.

Aby router w ogóle prze­puszczał ruch koniecz­na jest translac­ja adresów co jest pier­wszym wymo­giem prze­puszcza­nia ruchu wychodzącego. Polega na mapowa­niu przez NAT lokalnych adresów IP na glob­alne. Lokalne adresy IP to te, które zna­j­du­ją się w sieci zabez­piec­zonej przez PIX (np. wewnętrznej sieci firmy) i najczęś­ciej częs­to należą do zakresów pry­wat­nych adresów IP. Globalne adresy IP stosowane są w sieci, do której podłąc­zony jest zewnętrzny inter­fe­js PIX, i częs­to są nimi pub­liczne, routowalne adresy IP.

W naszym przykładzie sieci glob­al­ny adres IP jest z klasy adresów pry­wat­nych ponieważ przed fire­wallem od strony zewnętrznej sieci zna­j­du­je się router. Po odpowied­niej kon­fig­u­racji NAT fire­wall PIX pozwala na prze­chodze­nie ruchu z interfejsu

o wyższym poziomie bez­pieczeńst­wa do inter­fe­j­su o niższym poziomie bezpieczeństwa

(czyli połączeń wychodzą­cych) oraz zezwala na ruch powrot­ny związany z połączeni­a­mi wychodzącymi.

PIX1(config)# nat (inside) 1 172.0.1.0 255.255.255.0

PIX1(config)# glob­al (out­side) 1 192.168.1.1–192.168.1.254 net­mask 255.255.255.0

Tak skon­fig­urowany fire­wall PIX pozwala na wysyłanie wszelkiego ruchu z inter­fe­jsów o wyższym poziomie bez­pieczeńst­wa do inter­fe­jsów o niższym poziomie bezpieczeństwa.

Firewall prze­puszcza cały ruch, a prze­cież zależy nam na tym aby blokował „więk­szość” połączeń i prze­puszczał tylko określony typ ruchu. Sterowanie ruchu wychodzącego, który może prze­jść przez fire­wall PIX,  odby­wa się za pomocą narzędzia tzw. list dostępu.

W naszym przykładzie kon­fig­u­rac­ja list dostępu wyglą­da następująco:

Blokujemy porty służące do zdal­nego zarządza­nia usługa­mi DNS, DHCP, WINS.

PIX1(config)# access-list NO_INaIce_O‑l deny tcp any any ee 135

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee 135

Zablokowano ruch związany z pro­tokołem NETBIOS. Stosowany jest on do udostęp­ni­a­nia plików i drukarek w sieci­ach komputerowych.

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee netbios-ns

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee netbios-dgm

PIX1(config)# access-list NO_INaIce_O‑l deny tcp any any ee netbios-ssn

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee 139

Następne reguły to bloka­da ruchu związanego z Active Directory, współdzie­le­niem plików SMB.

PIX1(config)# access-list NO_INaIce_O‑l deny tcp any any ee 445

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee 445

Poniżej bloku­je­my ruch FTP i TFTP, nawet jeżeli użytkown­ik w sieci wewnętrznej uru­cho­mi ser­w­er FTP lub TFTP ruch do niego będzie zablokowany.

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee tftp

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee ftp

Blokujemy ruch związany z pro­tokołem komu­nika­cyjnym typu UDP umożli­wia­ją­cy kom­put­erom w sieci uzyskanie od ser­w­era danych kon­fig­u­ra­cyjnych, np. adresu IP

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee bootpc

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee bootps

Blokujemy ruch związany z pro­tokołem SNMP i przesyłaniem trapów SNMP.

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee snmp

PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee snmptrap

Zezwalamy na pozostały ruch:

PIX1(config)# access-list NO_INaIce_O‑l per­mit any any

I sto­su­je­my polece­nie aby wprowad­zone powyższe reguły działały:

PIX1(config)# access-group NO_INaIce_O‑l in inter­face inside

IV.  Konto użytkown­i­ka komputera.

Ważnym zagad­nie­niem jest odpowied­nie tworze­nie kont użytkown­ików kom­put­erów. W wielu przy­pad­kach użytkown­i­cy kom­put­erów pracu­ją na kon­cie z uprawnieni­a­mi admin­is­tra­to­ra i mają nieogranic­zony dostęp do zasobów. To zła prak­ty­ka. Nie wspom­i­na­jąc o tym że łat­wo się pomylić i usunąć jak­iś zasób w postaci pliku/katalogu/aplikacji to taki sys­tem jest podat­ny na np. łatwe zawiru­sowanie. Na kon­cie admin­is­tra­to­ra łat­wo się instalu­ją niepożą­dane aplikac­je w postaci wirusów, mal­ware, adware, rootk­itów etc. W sys­temach takich jak Windows 7, 8 wymienione opro­gramowanie ma utrud­nione zadanie do samoin­sta­lacji ale na skutek nieprze­myślanej zgody użytkown­i­ka kom­put­era częs­to się instaluje.

Istotnym zagad­nie­niem są hasła dostępu do komputera/serwera. Powinny być znane tylko użytkown­ikom kom­put­era którzy mają mieć do niego dostęp. Zagadnieniem nad którym moż­na się zas­tanow­ić to moc haseł.

Tak więc na użytkown­i­ka kom­put­era admin­is­tra­tor powinien nałożyć min­i­malne uprawnienia. Takiego użytkown­i­ka w sieci łat­wo jest kon­trolować i elim­i­nować jego błędy oraz niepożą­dane dzi­ała­nia np. insta­lac­je niepożą­danych aplikacji.

V. Systemy IDS/IPS

To akty­w­na ochrona sieci wyko­rzys­tu­ją­ca urządzenia wykry­wa­jące (Intrusion Detection System — IDS) lub wykry­wa­jące i bloku­jące (Intrusion Prevention System — IPS) ata­ki w cza­sie rzeczy­wistym, mające coraz więk­sze znacze­nie w sieci­ach kom­put­erowych na styku sieci LAN/WAN.

Systemy IDS wykry­wa­ją ata­ki w cza­sie rzeczy­wistym i alar­mu­ją admin­is­tra­to­ra sieci, może on pod­jąć akcję elimin­u­jącą niepożą­dane dzi­ałanie z zewnątrz sieci. Poprzez zas­tosowanie sys­temów IPS takie akc­je mogą być pode­j­mowane automaty­cznie. Przykładem ataku na sieć z zewnątrz może być zale­wanie sieci paki­eta­mi ICMP. Odpowiednio skon­fig­urowany sys­tem IPS zapo­bieg­nie udziela­niu zma­sowanych odpowiedzi na ten typ paki­etu i pomoże w zapo­bieg­nię­ciu ograniczenia pas­ma czy też np. awarii routera.

Przykład w omaw­ianej sieci.

W sieci zas­tosowano akty­wną ochronę sieci firmy Juniper typ  NetScreen IDP 100. Urządzenie pozwala naw­iązać 70000 sesji i utrzy­mać ruch na poziomie 200MB/sec. Dla ruchu sieciowego złożonego z 40 stacji roboczych to rozwiązanie będzie dopasowane.

VI. Ochrona aplikacji

W sieci kom­put­erowej coraz więcej sto­su­je się aplikacji.

Ważne jest nadanie odpowied­nich uprawnień aplikacjom i określe­nie dostępu do nich. Tylko odpowied­nie oso­by powin­ny mieć dostęp do danych aplikacji. Ważne jest stosowanie poli­ty­ki haseł do aplikacji, w tym ich okre­sowa zmiana.

Ważnym zagad­nie­niem porusza­jąc tem­at ochrony aplikacji jest ich aktu­al­iza­c­ja co pewien czas. Każde opro­gramowanie się „starze­je” i odkry­wane są luki w opro­gramowa­niu. Przykładem który może pomóc w zrozu­mie­niu tego zjawiska jest zagad­nie­nie aktu­al­iza­cji przeglą­darek. Znane luki w opro­gramowa­niu przeglą­darek mogą przy­czynić się do ataków na stację roboczą. Uruchamiana strona inter­ne­towa z poziomu przeglą­dar­ki i zamieszc­zone w niej kom­po­nen­ty np. ActiveX, kod JScript i inne mogą wykon­ać niepożą­dane akc­je na kom­put­erze. Komputer może zostać zain­fekowany opro­gramowaniem typu tro­jan, uszkodze­niu mogą również ulec ważne aplikac­je zna­j­du­jące się na komputerze.

Tak więc aktu­al­iza­c­ja opro­gramowa­nia jest tem­atem bard­zo ważnym, który nie może być pominię­ty w codzi­en­nej pra­cy admin­is­tra­to­ra sieci.

VII. Sieci VLAN

W dużych fir­ma­ch, kor­po­rac­jach częs­to budowane są sieci VLAN. Pozwalają one tworzyć wirtu­alne sieci LAN. Można w ten sposób wydzielić funkcjon­alne obszary sieci i ograniczyć dostęp do zasobów. Na przykład moż­na wydzielić grupę księ­gowych, zarząd i innych użytkown­ików sieci. Urządzenia takie jak CISCO, 3COM mają możli­wość skon­fig­urowa­nia ich tak aby prze­puszczał określony typ ruchu do wydzielonych grup (przyp. rout­ing pomiędzy sieci­a­mi VLAN).

Ograniczenie dostępu i odpowied­nia kon­fig­u­rac­ja sieci VLAN, pod­niosą bez­pieczeńst­wo sieci i ograniczą niepożą­dane dzi­ała­nia wykony­wane wewnątrz fir­mowej sieci LAN.

Przykład:
W przykład­owej sieci zas­tosowano VLANy z zas­tosowaniem zarządzal­nego przełączni­ka Cisco Catalyst 3750‑X Series Switches.. Przełącznik posi­a­da 48 portów 10/100/1000 Ethernet. W sieci 2 porty przez­nac­zono dla wydzi­ału księ­gowoś­ci, resztę portów przez­nac­zono dla grupy w której pracu­je resz­ta firmy.  W poniższej kon­fig­u­racji zas­tosowano mod­el izo­lacji 2 sieci VLAN.

Switch#Vlan data­base
Switch(vlan)#vlan 10 name A
Switch(vlan)#vlan 20 name B
Switch(vlan)#exit

Switch#configure ter­mi­nal
Switch(config)#interface fastEthernet  0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config)#interface fastEthernet  0/3
Switch(config-if)#switchport access vlan 10
Switch(config)#interface fastEthernet  0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config)#interface fastEthernet  0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
.
.
.
Switch(config)#interface fastEthernet  0/40
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

Jedna sieć (dzi­ał księ­gowoś­ci) vlan to sieć 192.168.2.0/24 dru­ga sieć (resz­ta firmy) to sieć 192.168.3.0/24.

VIII.  Zabezpieczenie trans­misji danych VPN

VPN (ang. Virtual Private Networks) sto­su­je się w celu połączenia np. 2 lokaliza­cji zdal­nych sieci LAN. Dzięki zas­tosowa­niu pro­tokołu np. IpSec możli­we jest połącze­nie zdal­nych lokaliza­cji tak aby zna­j­dowały się w jed­nej sieci LAN. Połączenie jest szyfrowane dzię­ki temu pod­słuchanie takiego łącza komu­nika­cyjnego jest praw­ie niemożliwe.

Metoda tworzenia VPN jest coraz częst­szą w obec­nych cza­sach, pro­ces przesyłu ważnych danych z punk­tu widzenia poli­ty­ki firmy powinien odby­wać się za pośred­nictwem łącz szyfrowanych VPN.

IX.  Zabezpieczenie routera WiFi.

Obecnie coraz częś­ciej sto­su­je się bezprze­wodowe sieci Wifi. Bardzo ważnym ele­mentem jest odpowied­nie zabez­piecze­nie twor­zonej sieci WiFi.

Pierwszym ele­mentem zabez­piecza­nia takiej sieci jest nadanie hasła sieci. Trzeba zapewnić również odpowied­nią metodę dostępu. Warto zas­tosować dostęp typu WPA Personal lub w przy­pad­ku kor­po­racji zas­tosować mech­a­nizm RADIUS i ser­w­er autoryzujący.

Następnym ele­mentem zabez­pieczeń jest ogranicze­nie dostępu do sieci bezprze­wodowej wybranym kom­put­erom za pośred­nictwem fil­trowa­nia adresów MAC. Jest to sposób na pod­wyższe­nie bez­pieczeńst­wa ale ten sposób jest łatwy do poko­na­nia przez sprawnego intruza w sieci.

Trzeba jed­nak przyz­nać ze tworze­nie sieci Wifi wiąże się z ogrom­nym ryzykiem bez­pieczeńst­wa sieci i lep­iej stosować rozwiąza­nia sprawd­zone takie jak miedziana sieć Ethernet.

Przykład:

W sieci zas­tosowano router Linksys WRT54GL. Jest to router Wifi przez­nac­zony dla seg­men­tu SOHO. W sieci którą przed­staw­iamy jako przykład doskonale poradzi sobie z ruchem.

Nadajemy zewnętrzne­mu inter­fe­j­sowi routera adres 192.168.1.2. Adresy nadawane przez ser­w­er dhcp będą miały adresację w sieci 10.0.0.0/24. Oprócz routera urządze­nie wifi pełni funkcję zapory ogniowej.

1

Powyżej zilus­trowano funkcję zapory ogniowej routera Linksys54GL. Aktywowano blokowanie anon­i­mowych żądań z inter­ne­tu, fil­trowanie ruchu tupu mul­ti­cas­towego, fil­trowanie inter­ne­towych przekierowań NAT i fil­trowanie ruchu na por­cie 113.

W przykładzie zas­tosowano szyfrowanie WPA2 z algo­ryt­mem AES i nadano hasło dostępowe. Poniżej ilus­trac­ja zas­tosowanego rozwiązania.

2
X. Schemat zabez­pieczeń omaw­ianej sieci komputerowej.

3

Tags: , , , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zadzwoń teraz!