Wykonanie typowej sieci LAN, polegające
w zasadzie na przeprowadzeniu odpowiednich kabli i podłączeniu
ze sobą różnych urządzeń, może wydawać się dosyć prostym zadaniem i
faktycznie nie ma w nim nic nadzwyczajnie trudnego. Każdy, kto
nauczył się przynajmniej podstaw technologii sieci
teleinformatycznych i nabrał w tej dziedzinie minimalnego
doświadczenia jest w stanie prawidłowo zaprojektować i oddać do
użytku prostą, typową sieć LAN. Lecz aby oddana do użytku sieć LAN nie
stanowiła potencjalnego zagrożenia dla jej użytkowników, powinna
ona zostać prawidłowo zabezpieczona. Prawda jest taka, że cała sieć LAN jest na tyle
bezpieczna, na ile dobrze zabezpieczone jest jej najsłabsze ogniwo,
a więc zabezpieczenie sieci LAN wymaga nieco odmiennej i bardziej
obszernej wiedzy, niż ta, która wystarcza do jej fizycznego
zaprojektowania i oddania do użytku. Istotną kwestią jest
zabezpieczenie nie tylko stacji roboczych i serwerów znajdujących
się w sieci, lecz także wszelkich modemów, routerów, punktów
dostępu WiFi oraz wszystkich innych urządzeń, które mogą
wchodzić w skład sieci LAN, również takich jak sprzętowe zapory
ogniowe, przełączniki, moduły sieciowe urządzeń takich jak
plotery, drukarki czy zasilacze awaryjne, w co wchodzi często
konieczność aktualizacji firmware, biosów, ręcznego pisania reguł
zapór ogniowych, prawidłowego ustawienia adresów IP, co z kolej
nieraz wymaga dobrej znajomości protokołu TCP/IP, szczególnie w
przypadku pracy z podsieciami i łączącymi ich routerami.
Niezależnie od zainstalowanego oprogramowania na poszczególnych stacjach roboczych i serwerach, wszystkie składniki oprogramowania powinny być
regularnie uaktualniane do najnowszych wersji. W miarę możliwości
aktualizacja oprogramowania powinna odbywać się automatycznie.
Odpowiednio skonfigurowana programowa zapora ogniowa, długie i
trudne do odgadnięcia nazwy i hasła użytkowników, regularne
wymuszanie przez system zmiany haseł użytkowników, odpowiednio skonfigurowane zapory ogniowe i programy antywirusowe, to tylko podstawowe środki
ostrożności. Dla prawidłowego
zabezpieczenia stacji roboczych i serwerów znajdujących się w sieci LAN zalecam również
wyłączenie wszelkich niepotrzebnych do codziennej pracy lub zabawy
usług, które są przeważnie standardowo automatycznie uruchamiane
podczas startu systemów, nawet w przypadku korzystania z Linuksa. W systemach Windows XP i Vista, które dziś już są rzadko spotykane, takich usług było całe mnóstwo.
Sytuacja wygląda nieco lepiej w systemach Windows 7 oraz 8, w
których przy starcie systemu standardowo uruchamiana ilość usług
jest nieco mniejsza. Aby sprawdzić które usługi są w danej chwili
uruchomione, na komputerach pracujących pod kontrolą systemu
Windows, należy skorzystać z zakładki 'Usługi' Menedżera Zadań.
Konfiguracji dotyczącej automatycznego startu danej usługi można
dokonać z poziomu apletu 'Usługi', znajdującego się w Panelu
Sterowania. Należy w tym celu posiadać uprawnienia administracyjne.
Natomiast na maszynach pracujących pod kontrolą Linuksa, aby
określić czy dana usługa ma być automatycznie uruchamiana podczas
startu systemu można przykładowo skorzystać z polecenia chkconfig
lub update-rc.d, w zależności od dystrybucji Linuksa. W przypadku nowszych dystrybucji z systemd, należy korzystać z polecenia systemctl, w celu wyłączenia niepotrzebnych usług. W przypadku
Linuksa można w prosty sposób kompletnie odinstalować niepotrzebne
usługi, lub nawet ręcznie zmodyfikować skrypty uruchamiające
usługi podczas startu systemu, dopasowując wszelkie ustawienia do
potrzeb użytkownika.
Oprócz komputerów, większość sieci
LAN posiada jeden lub więcej routerów, które umożliwiają
przesyłanie danych pomiędzy różnymi sieciami w sposób zgodny z
przeznaczeniem urządzeń, np. przesyłanie danych pomiędzy siecią
WAN a siecią lokalną lub pomiędzy dwoma podsieciami LAN.
Prawidłowa konfiguracja routera, w przeciwieństwie do ogólnie
panującego przekonania, nie jest rzeczą banalnie prostą i wymaga
znajomości kilku protokołów sieciowych, a przynajmniej podstawowej
znajomości protokołu TCP/IP. Oprogramowanie routerów często
umożliwia automatyczne konfigurowanie parametrów routera na
podstawie pytań i odpowiedzi, lecz jeżeli w sieci LAN
implementowane są rozwiązania wymagające szczegółowego
dopasowania parametrów routera (urządzenia implementujące protokół
SNMP, kamery IP, udostępnianie zasobów serwerów na zewnątrz sieci
LAN), to nie obejdzie się bez ręcznej konfiguracji urządzenia.
Prawidłowo wykonana konfiguracja routera, obejmująca, między
innymi, odpowiednie ustawienia parametrów portów WAN i LAN,
prawidłowe ustawienia zapory ogniowej routera, prawidłowe
ustawienia ewentualnych ograniczeń dostępu np. do niebezpiecznych
stron internetowych (dla przykładu za pomocą Cisco ProtectLink
Web), a także odpowiednie wykonaną konfiguracje ewentualnych
wirtualnych sieci prywatnych, może zapewnić duży stopień ochrony
sieci LAN, jeżeli chodzi o ataki z zewnątrz, pomijając oczywiście
przypadki ataków backdoor, które są podejmowane pomijając wejście
główne, czyli przykładowo router.
Aby urządzenie zostało prawidłowo
zabezpieczone, należy także regularnie aktualizować firmware
routera, czyli jego oprogramowanie wewnętrzne, które bardzo często
jest dopasowaną do potrzeb urządzenia mini-dystrybucją systemu
operacyjnego Linux. Oprogramowanie routera należy pobrać ze strony
producenta i wczytać do urządzenia pobrany plik poprzez
uruchomienie funkcji aktualizacji oprogramowania. Na rynku są też
routery, które same ściągają oraz instalują aktualizację
oprogramowania. W takim przypadku zalecane jest jednak wyłączenie
takiej opcji ze względów bezpieczeństwa.
Kolejnym krokiem w drodze do
prawidłowego zabezpieczenia sieci LAN jest wyłączenie obsługi
protokołu SNMP na wszelkich sieciowych urządzeniach, które oferują
możliwość jego implementacji. Zasadniczo protokół ten stosowany
jest do monitorowania statusu urządzeń, a nieraz do podstawowej,
bardzo ograniczonej komunikacji pomiędzy urządzeniami sieciowymi.
Protokół SNMP obsługiwany jest przeważnie przez routery,
przełączniki zarządzalne, moduły komunikacyjne dużych zasilaczy
UPS. Protokół ten jest poważną luką w zabezpieczeniach całej
infrastruktury informatycznej ponieważ, w przypadku nieprawidłowego
zablokowania całego ruchu SNMP w sieci, wszelkie dane dotyczące
statusu urządzeń sieciowych, w tym często informacje o modelu
urządzenia oraz o zainstalowanej wersji oprogramowania firmware,
które są udostępniane za pomocą protokołu SNMP, mogą zostać
odczytane przez nieautoryzowane osoby. Niewystarczające okazuje się
zabezpieczenie na poziomie ACL. Jedynym rozsądnym rozwiązaniem
staje się rezygnacja z obsługi SNMP w całej sieci LAN. Bardzo
ważne, oprócz wyłączenia obsługi protokołu SNMP na
poszczególnych urządzeniach wewnątrz sieci LAN, jest całkowite
zablokowanie ruchu SNMP na wszelkich zaporach sieciowych, szczególnie
na zaporach routerów.
Bardzo fajnie napisane. Jestem pod wrażeniem i pozdrawiam.
OdpowiedzUsuńJak korzystam z internetu to zależy mi aby było bezpiecznie. Na pewno znaczenie ma tu dostawca, ja wybrałem ofertę https://fiberlink.pl/ bo oni są najlepsi w Małopolsce. Internet mamy w technologii światłowodowej, najszybszy i niezawodny. Jak mieszkacie w tej okolicy to koniecznie zapoznajcie się z ich ofertą na stronie. Można kupić w pakiecie także telewizję i telefon.
OdpowiedzUsuń