Bezpieczeństwo LAN
Prezentujemy artykuł z praktyczną implementacją mechanizmów zabezpieczeń sieci LAN…
W przykładowej sieci znajduje się 40 użytkowników sieci. Sieć jest zbudowana w topologii gwiazdy, jest to sieć typu FastEthernet. 2 użytkowników sieci pracuje w wydzielonej strefie VLAN w dziale księgowości, pozostali użytkownicy w drugiej wydzielonej strefie VLAN. Do przełącznika przyłączony jest również serwer który zapewnia zasoby do sieci lokalnej. Sieć posiada dostęp WIFI za pośrednictwem routera Linksys, sprzętowy skaner antywirusowy, router, firewall, system wykrywania i zapobiegania atakom IDS/VPS.
I. Ochrona antywirusowa
Jednym z podstawowych i koniecznych zabezpieczeń sieci komputerowej jest ochrona antywirusowa. Na rynku komputerowym jest dostępnych szereg programów antywirusowych. Istnieją też darmowe rozwiązania przeznaczone dla użytkownika prywatnego/domowego.
Najczęściej spotykanymi rozwiązaniami są produkty w postaci oprogramowania które instalowane jest na każdej stacji roboczej i/lub serwerze. Od pewnego czasu na rynku dostępne są też rozwiązania sprzętowe instalowane na styku sieci LAN/WAN. Chronią one całą sieć niezależnie od podłączonych do nich urządzeń (przyp. w ten sposób mogą być chronione telefony/smartfony włączane do sieci LAN).
Oprogramowanie antywirusowe oprócz wykrywania wirusów, skanuje zasoby sieciowe w poszukiwaniu robaków, rootkitów, exploitów. Ważnym kryterium przy wyborze antywirusa jest jego integracja z przeglądarkami czy też z klientami poczty elektronicznej (np. Outlook Express). Istnieje grupa antywirusów która integruje się z usługami serwerowymi np. ochrona serwerów/skrzynek poczty elektronicznej np. Microsoft Exchange Server.
II. Ochrona zasobów udziału serwera LAN.
W przypadku kiedy serwer/stacja robocza udostępnia usługi w postaci udziałów, ważnym tematem jest odpowiednie nadanie uprawnień do plików i katalogów. Na serwerze Windows czy też Linux/Samba istnieją mechanizmy tworzenia grup użytkowników/użytkowników i przydzielania im odpowiednich uprawnień do katalogów i plików.
Możemy na przykład stworzyć udział \\księgowość i przydzielić uprawnienia dla grupy księgowi, tak aby inni użytkownicy w firmie nie mieli dostępu do zasobów w tym udziale. Dokumenty dla innych nie będą widoczne/dostępne. Podobnie można stworzyć udziały dla innych grup użytkowników w firmie. Dodatkowo można nadawać prawa tylko do odczytu lub pisania do poszczególnych katalogów i plików na serwerze.
Z udostępnianiem wiąże się też pojęcie mapowania dysków. Jest to mechanizm który przypisuje literkę dysków udziałowi. Należy zwrócić uwagę że udostępniane zasoby lub mapowane dyski mogą ulec destrukcji poprzez zawirusowywanie. Należy chronić je poprzez zainstalowanie wcześniej wspomnianych systemów antywirusowych.
Jednym z mechanizmów zabezpieczeń udziałów jest ich ukrywanie w sieci tak aby użytkownicy nie wiedzieli o ich istnieniu. Realizuje się to poprzez nadanie w nazwie udziału literki $ . Udostępniany folder będzie miał postać np. \\dane$ i nie będzie widoczny w sieci. Oczywiście można zwiększyć bezpieczeństwo poprzez nadanie uprawnień grupom użytkowników i użytkownikom oraz nadanie uprawnień do plików i katalogów.
Ważnym elementem ochrony zasobów jest sama ochrona poprzez wymienione mechanizmy ale wzmocnić ochronę jak też swoją pozycję jako administratora można poprzez zastosowanie logowania tego co na takim serwerze plików się dzieje. W ten sposób możemy się na przykład dowiedzieć kto usunął katalog „sprawozdania” z serwera.
III. Zapora firewall
Następnym z mechanizmów zabezpieczeń sieci jest zapora ogniowa (ang. Firewall). Ochrona sieci typu zapory sieciowej to specjalne urządzenie i/lub oprogramowanie blokujące nieupoważniony dostęp z sieci publicznych i Internetu do wewnętrznej sieci LAN oraz zabezpieczające ją przed nieuprawnionym wypływem danych na zewnątrz.
Nawet systemach Windows XP istnieje zapora sieciowa. Warto ją wykorzystać tym bardziej że jest ona domyślnie włączona. Jako administrator można ją tak skonfigurować aby przepuszczała określony typ ruchu w sprecyzowanym kierunku (do lub na zewnątrz sieci).
Istnieją typy zapór stosowanych na serwerach np. ISA/Windows lub iptables/Linux. Pozwalają one na bardzo dokładną realizację założeń bezpieczeństwa sieci.
Odrębną grupą rozwiązań są rozwiązania sprzętowe. Firmy takie jak na przykład CISCO lub 3COM oferują firewalle w pudełku. Ich zaletą jest niewątpliwie niezawodność i trudniejsza podatność na ataki niż firewalle softwarowe.
Temat zapory ogniowej w środowisku sieci komputerowych to dzisiaj konieczność. Unika się w ten sposób włamań do sieci komputerowej i ingerencji w nią z zewnątrz. Oczywiście jeżeli zapora jest dobrze skonfigurowana lub też nie istnieją mechanizmy w postaci złośliwego oprogramowania w postaci agentów w sieci.
Przykład konfiguracji sieci – CISCO PIX 501 Firewall
The Cisco PIX 501 jest kompaktowym urządzeniem stosowanym dla firm o małej ilości użytkowników. Zakładamy, że w naszej sieci liczba użytkowników to 40. PIX 501 posiada 4 porty Fast Ethernet (10/100) jako przełącznik sieciowy (porty interfejsów wewnętrznych) i jeden port Fast Ethernet (10/100) (interfejs zewnętrzny). Ten firewall jest idealny do zabezpieczeń wysokoprzepustowych sieci w biurach. Cisco PIX 501 umożliwia 60 Mbps przepustowości firewalla, 3 Mbps ruchu VPN (3DES) i 4.5 Mbps ruchu VPN typu AES.
Aby router w ogóle przepuszczał ruch konieczna jest translacja adresów co jest pierwszym wymogiem przepuszczania ruchu wychodzącego. Polega na mapowaniu przez NAT lokalnych adresów IP na globalne. Lokalne adresy IP to te, które znajdują się w sieci zabezpieczonej przez PIX (np. wewnętrznej sieci firmy) i najczęściej często należą do zakresów prywatnych adresów IP. Globalne adresy IP stosowane są w sieci, do której podłączony jest zewnętrzny interfejs PIX, i często są nimi publiczne, routowalne adresy IP.
W naszym przykładzie sieci globalny adres IP jest z klasy adresów prywatnych ponieważ przed firewallem od strony zewnętrznej sieci znajduje się router. Po odpowiedniej konfiguracji NAT firewall PIX pozwala na przechodzenie ruchu z interfejsu
o wyższym poziomie bezpieczeństwa do interfejsu o niższym poziomie bezpieczeństwa
(czyli połączeń wychodzących) oraz zezwala na ruch powrotny związany z połączeniami wychodzącymi.
PIX1(config)# nat (inside) 1 172.0.1.0 255.255.255.0
PIX1(config)# global (outside) 1 192.168.1.1–192.168.1.254 netmask 255.255.255.0
Tak skonfigurowany firewall PIX pozwala na wysyłanie wszelkiego ruchu z interfejsów o wyższym poziomie bezpieczeństwa do interfejsów o niższym poziomie bezpieczeństwa.
Firewall przepuszcza cały ruch, a przecież zależy nam na tym aby blokował „większość” połączeń i przepuszczał tylko określony typ ruchu. Sterowanie ruchu wychodzącego, który może przejść przez firewall PIX, odbywa się za pomocą narzędzia tzw. list dostępu.
W naszym przykładzie konfiguracja list dostępu wygląda następująco:
Blokujemy porty służące do zdalnego zarządzania usługami DNS, DHCP, WINS.
PIX1(config)# access-list NO_INaIce_O‑l deny tcp any any ee 135
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee 135
Zablokowano ruch związany z protokołem NETBIOS. Stosowany jest on do udostępniania plików i drukarek w sieciach komputerowych.
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee netbios-ns
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee netbios-dgm
PIX1(config)# access-list NO_INaIce_O‑l deny tcp any any ee netbios-ssn
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee 139
Następne reguły to blokada ruchu związanego z Active Directory, współdzieleniem plików SMB.
PIX1(config)# access-list NO_INaIce_O‑l deny tcp any any ee 445
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee 445
Poniżej blokujemy ruch FTP i TFTP, nawet jeżeli użytkownik w sieci wewnętrznej uruchomi serwer FTP lub TFTP ruch do niego będzie zablokowany.
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee tftp
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee ftp
Blokujemy ruch związany z protokołem komunikacyjnym typu UDP umożliwiający komputerom w sieci uzyskanie od serwera danych konfiguracyjnych, np. adresu IP
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee bootpc
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee bootps
Blokujemy ruch związany z protokołem SNMP i przesyłaniem trapów SNMP.
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee snmp
PIX1(config)# access-list NO_INaIce_O‑l deny udp any any ee snmptrap
Zezwalamy na pozostały ruch:
PIX1(config)# access-list NO_INaIce_O‑l permit any any
I stosujemy polecenie aby wprowadzone powyższe reguły działały:
PIX1(config)# access-group NO_INaIce_O‑l in interface inside
IV. Konto użytkownika komputera.
Ważnym zagadnieniem jest odpowiednie tworzenie kont użytkowników komputerów. W wielu przypadkach użytkownicy komputerów pracują na koncie z uprawnieniami administratora i mają nieograniczony dostęp do zasobów. To zła praktyka. Nie wspominając o tym że łatwo się pomylić i usunąć jakiś zasób w postaci pliku/katalogu/aplikacji to taki system jest podatny na np. łatwe zawirusowanie. Na koncie administratora łatwo się instalują niepożądane aplikacje w postaci wirusów, malware, adware, rootkitów etc. W systemach takich jak Windows 7, 8 wymienione oprogramowanie ma utrudnione zadanie do samoinstalacji ale na skutek nieprzemyślanej zgody użytkownika komputera często się instaluje.
Istotnym zagadnieniem są hasła dostępu do komputera/serwera. Powinny być znane tylko użytkownikom komputera którzy mają mieć do niego dostęp. Zagadnieniem nad którym można się zastanowić to moc haseł.
Tak więc na użytkownika komputera administrator powinien nałożyć minimalne uprawnienia. Takiego użytkownika w sieci łatwo jest kontrolować i eliminować jego błędy oraz niepożądane działania np. instalacje niepożądanych aplikacji.
V. Systemy IDS/IPS
To aktywna ochrona sieci wykorzystująca urządzenia wykrywające (Intrusion Detection System — IDS) lub wykrywające i blokujące (Intrusion Prevention System — IPS) ataki w czasie rzeczywistym, mające coraz większe znaczenie w sieciach komputerowych na styku sieci LAN/WAN.
Systemy IDS wykrywają ataki w czasie rzeczywistym i alarmują administratora sieci, może on podjąć akcję eliminującą niepożądane działanie z zewnątrz sieci. Poprzez zastosowanie systemów IPS takie akcje mogą być podejmowane automatycznie. Przykładem ataku na sieć z zewnątrz może być zalewanie sieci pakietami ICMP. Odpowiednio skonfigurowany system IPS zapobiegnie udzielaniu zmasowanych odpowiedzi na ten typ pakietu i pomoże w zapobiegnięciu ograniczenia pasma czy też np. awarii routera.
Przykład w omawianej sieci.
W sieci zastosowano aktywną ochronę sieci firmy Juniper typ NetScreen IDP 100. Urządzenie pozwala nawiązać 70000 sesji i utrzymać ruch na poziomie 200MB/sec. Dla ruchu sieciowego złożonego z 40 stacji roboczych to rozwiązanie będzie dopasowane.
VI. Ochrona aplikacji
W sieci komputerowej coraz więcej stosuje się aplikacji.
Ważne jest nadanie odpowiednich uprawnień aplikacjom i określenie dostępu do nich. Tylko odpowiednie osoby powinny mieć dostęp do danych aplikacji. Ważne jest stosowanie polityki haseł do aplikacji, w tym ich okresowa zmiana.
Ważnym zagadnieniem poruszając temat ochrony aplikacji jest ich aktualizacja co pewien czas. Każde oprogramowanie się „starzeje” i odkrywane są luki w oprogramowaniu. Przykładem który może pomóc w zrozumieniu tego zjawiska jest zagadnienie aktualizacji przeglądarek. Znane luki w oprogramowaniu przeglądarek mogą przyczynić się do ataków na stację roboczą. Uruchamiana strona internetowa z poziomu przeglądarki i zamieszczone w niej komponenty np. ActiveX, kod JScript i inne mogą wykonać niepożądane akcje na komputerze. Komputer może zostać zainfekowany oprogramowaniem typu trojan, uszkodzeniu mogą również ulec ważne aplikacje znajdujące się na komputerze.
Tak więc aktualizacja oprogramowania jest tematem bardzo ważnym, który nie może być pominięty w codziennej pracy administratora sieci.
VII. Sieci VLAN
W dużych firmach, korporacjach często budowane są sieci VLAN. Pozwalają one tworzyć wirtualne sieci LAN. Można w ten sposób wydzielić funkcjonalne obszary sieci i ograniczyć dostęp do zasobów. Na przykład można wydzielić grupę księgowych, zarząd i innych użytkowników sieci. Urządzenia takie jak CISCO, 3COM mają możliwość skonfigurowania ich tak aby przepuszczał określony typ ruchu do wydzielonych grup (przyp. routing pomiędzy sieciami VLAN).
Ograniczenie dostępu i odpowiednia konfiguracja sieci VLAN, podniosą bezpieczeństwo sieci i ograniczą niepożądane działania wykonywane wewnątrz firmowej sieci LAN.
Przykład:
W przykładowej sieci zastosowano VLANy z zastosowaniem zarządzalnego przełącznika Cisco Catalyst 3750‑X Series Switches.. Przełącznik posiada 48 portów 10/100/1000 Ethernet. W sieci 2 porty przeznaczono dla wydziału księgowości, resztę portów przeznaczono dla grupy w której pracuje reszta firmy. W poniższej konfiguracji zastosowano model izolacji 2 sieci VLAN.
Switch#Vlan database
Switch(vlan)#vlan 10 name A
Switch(vlan)#vlan 20 name B
Switch(vlan)#exit
Switch#configure terminal
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#switchport access vlan 10
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config)#interface fastEthernet 0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
.
.
.
Switch(config)#interface fastEthernet 0/40
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Jedna sieć (dział księgowości) vlan to sieć 192.168.2.0/24 druga sieć (reszta firmy) to sieć 192.168.3.0/24.
VIII. Zabezpieczenie transmisji danych VPN
VPN (ang. Virtual Private Networks) stosuje się w celu połączenia np. 2 lokalizacji zdalnych sieci LAN. Dzięki zastosowaniu protokołu np. IpSec możliwe jest połączenie zdalnych lokalizacji tak aby znajdowały się w jednej sieci LAN. Połączenie jest szyfrowane dzięki temu podsłuchanie takiego łącza komunikacyjnego jest prawie niemożliwe.
Metoda tworzenia VPN jest coraz częstszą w obecnych czasach, proces przesyłu ważnych danych z punktu widzenia polityki firmy powinien odbywać się za pośrednictwem łącz szyfrowanych VPN.
IX. Zabezpieczenie routera WiFi.
Obecnie coraz częściej stosuje się bezprzewodowe sieci Wifi. Bardzo ważnym elementem jest odpowiednie zabezpieczenie tworzonej sieci WiFi.
Pierwszym elementem zabezpieczania takiej sieci jest nadanie hasła sieci. Trzeba zapewnić również odpowiednią metodę dostępu. Warto zastosować dostęp typu WPA Personal lub w przypadku korporacji zastosować mechanizm RADIUS i serwer autoryzujący.
Następnym elementem zabezpieczeń jest ograniczenie dostępu do sieci bezprzewodowej wybranym komputerom za pośrednictwem filtrowania adresów MAC. Jest to sposób na podwyższenie bezpieczeństwa ale ten sposób jest łatwy do pokonania przez sprawnego intruza w sieci.
Trzeba jednak przyznać ze tworzenie sieci Wifi wiąże się z ogromnym ryzykiem bezpieczeństwa sieci i lepiej stosować rozwiązania sprawdzone takie jak miedziana sieć Ethernet.
Przykład:
W sieci zastosowano router Linksys WRT54GL. Jest to router Wifi przeznaczony dla segmentu SOHO. W sieci którą przedstawiamy jako przykład doskonale poradzi sobie z ruchem.
Nadajemy zewnętrznemu interfejsowi routera adres 192.168.1.2. Adresy nadawane przez serwer dhcp będą miały adresację w sieci 10.0.0.0/24. Oprócz routera urządzenie wifi pełni funkcję zapory ogniowej.
Powyżej zilustrowano funkcję zapory ogniowej routera Linksys54GL. Aktywowano blokowanie anonimowych żądań z internetu, filtrowanie ruchu tupu multicastowego, filtrowanie internetowych przekierowań NAT i filtrowanie ruchu na porcie 113.
W przykładzie zastosowano szyfrowanie WPA2 z algorytmem AES i nadano hasło dostępowe. Poniżej ilustracja zastosowanego rozwiązania.