niedziela, 30 listopada 2014

Zasady bezpieczeństwa w sieciach LAN

Wykonanie typowej sieci LAN, polegające w zasadzie na przeprowadzeniu odpowiednich kabli i podłączeniu ze sobą różnych urządzeń, może wydawać się dosyć prostym zadaniem i faktycznie nie ma w nim nic nadzwyczajnie trudnego. Każdy, kto nauczył się przynajmniej podstaw technologii  sieci teleinformatycznych i nabrał w tej dziedzinie minimalnego doświadczenia jest w stanie prawidłowo zaprojektować i oddać do użytku prostą, typową sieć LAN. Lecz aby oddana do użytku sieć LAN nie stanowiła potencjalnego zagrożenia dla jej użytkowników, powinna ona zostać prawidłowo zabezpieczona. Prawda jest taka, że cała sieć LAN jest na tyle bezpieczna, na ile dobrze zabezpieczone jest jej najsłabsze ogniwo, a więc zabezpieczenie sieci LAN wymaga nieco odmiennej i bardziej obszernej wiedzy, niż ta, która wystarcza do jej fizycznego zaprojektowania i oddania do użytku. Istotną kwestią jest zabezpieczenie nie tylko stacji roboczych i serwerów znajdujących się w sieci, lecz także wszelkich modemów, routerów, punktów dostępu WiFi oraz wszystkich innych urządzeń, które mogą wchodzić w skład sieci LAN, również takich jak sprzętowe zapory ogniowe, przełączniki, moduły sieciowe urządzeń takich jak plotery, drukarki czy zasilacze awaryjne, w co wchodzi często konieczność aktualizacji firmware, biosów, ręcznego pisania reguł zapór ogniowych, prawidłowego ustawienia adresów IP, co z kolej nieraz wymaga dobrej znajomości protokołu TCP/IP, szczególnie w przypadku pracy z podsieciami i łączącymi ich routerami.

Niezależnie od zainstalowanego oprogramowania na poszczególnych stacjach roboczych i serwerach, wszystkie składniki oprogramowania powinny być regularnie uaktualniane do najnowszych wersji. W miarę możliwości aktualizacja oprogramowania powinna odbywać się automatycznie. Odpowiednio skonfigurowana programowa zapora ogniowa, długie i trudne do odgadnięcia nazwy i hasła użytkowników, regularne wymuszanie przez system zmiany haseł użytkowników, odpowiednio skonfigurowane zapory ogniowe i programy antywirusowe, to tylko podstawowe środki ostrożności. Dla prawidłowego zabezpieczenia stacji roboczych i serwerów znajdujących się w sieci LAN zalecam również wyłączenie wszelkich niepotrzebnych do codziennej pracy lub zabawy usług, które są przeważnie standardowo automatycznie uruchamiane podczas startu systemów, nawet w przypadku korzystania z Linuksa. W systemach Windows XP i Vista, które dziś już są rzadko spotykane, takich usług było całe mnóstwo. Sytuacja wygląda nieco lepiej w systemach Windows 7 oraz 8, w których przy starcie systemu standardowo uruchamiana ilość usług jest nieco mniejsza. Aby sprawdzić które usługi są w danej chwili uruchomione, na komputerach pracujących pod kontrolą systemu Windows, należy skorzystać z zakładki 'Usługi' Menedżera Zadań. Konfiguracji dotyczącej automatycznego startu danej usługi można dokonać z poziomu apletu 'Usługi', znajdującego się w Panelu Sterowania. Należy w tym celu posiadać uprawnienia administracyjne. Natomiast na maszynach pracujących pod kontrolą Linuksa, aby określić czy dana usługa ma być automatycznie uruchamiana podczas startu systemu można przykładowo skorzystać z polecenia chkconfig lub update-rc.d, w zależności od dystrybucji Linuksa. W przypadku nowszych dystrybucji  z systemd, należy korzystać z polecenia systemctl, w celu wyłączenia niepotrzebnych usług. W przypadku Linuksa można w prosty sposób kompletnie odinstalować niepotrzebne usługi, lub nawet ręcznie zmodyfikować skrypty uruchamiające usługi podczas startu systemu, dopasowując wszelkie ustawienia do potrzeb użytkownika.

Oprócz komputerów, większość sieci LAN posiada jeden lub więcej routerów, które umożliwiają przesyłanie danych pomiędzy różnymi sieciami w sposób zgodny z przeznaczeniem urządzeń, np. przesyłanie danych pomiędzy siecią WAN a siecią lokalną lub pomiędzy dwoma podsieciami LAN. Prawidłowa konfiguracja routera, w przeciwieństwie do ogólnie panującego przekonania, nie jest rzeczą banalnie prostą i wymaga znajomości kilku protokołów sieciowych, a przynajmniej podstawowej znajomości protokołu TCP/IP. Oprogramowanie routerów często umożliwia automatyczne konfigurowanie parametrów routera na podstawie pytań i odpowiedzi, lecz jeżeli w sieci LAN implementowane są rozwiązania wymagające szczegółowego dopasowania parametrów routera (urządzenia implementujące protokół SNMP, kamery IP, udostępnianie zasobów serwerów na zewnątrz sieci LAN), to nie obejdzie się bez ręcznej konfiguracji urządzenia. Prawidłowo wykonana konfiguracja routera, obejmująca, między innymi, odpowiednie ustawienia parametrów portów WAN i LAN, prawidłowe ustawienia zapory ogniowej routera, prawidłowe ustawienia ewentualnych ograniczeń dostępu np. do niebezpiecznych stron internetowych (dla przykładu za pomocą Cisco ProtectLink Web), a także odpowiednie wykonaną konfiguracje ewentualnych wirtualnych sieci prywatnych, może zapewnić duży stopień ochrony sieci LAN, jeżeli chodzi o ataki z zewnątrz, pomijając oczywiście przypadki ataków backdoor, które są podejmowane pomijając wejście główne, czyli przykładowo router. 

Aby urządzenie zostało prawidłowo zabezpieczone, należy także regularnie aktualizować firmware routera, czyli jego oprogramowanie wewnętrzne, które bardzo często jest dopasowaną do potrzeb urządzenia mini-dystrybucją systemu operacyjnego Linux. Oprogramowanie routera należy pobrać ze strony producenta i wczytać do urządzenia pobrany plik poprzez uruchomienie funkcji aktualizacji oprogramowania. Na rynku są też routery, które same ściągają oraz instalują aktualizację oprogramowania. W takim przypadku zalecane jest jednak wyłączenie takiej opcji ze względów bezpieczeństwa.

Kolejnym krokiem w drodze do prawidłowego zabezpieczenia sieci LAN jest wyłączenie obsługi protokołu SNMP na wszelkich sieciowych urządzeniach, które oferują możliwość jego implementacji. Zasadniczo protokół ten stosowany jest do monitorowania statusu urządzeń, a nieraz do podstawowej, bardzo ograniczonej komunikacji pomiędzy urządzeniami sieciowymi. Protokół SNMP obsługiwany jest przeważnie przez routery, przełączniki zarządzalne, moduły komunikacyjne dużych zasilaczy UPS. Protokół ten jest poważną luką w zabezpieczeniach całej infrastruktury informatycznej ponieważ, w przypadku nieprawidłowego zablokowania całego ruchu SNMP w sieci, wszelkie dane dotyczące statusu urządzeń sieciowych, w tym często informacje o modelu urządzenia oraz o zainstalowanej wersji oprogramowania firmware, które są udostępniane za pomocą protokołu SNMP, mogą zostać odczytane przez nieautoryzowane osoby. Niewystarczające okazuje się zabezpieczenie na poziomie ACL. Jedynym rozsądnym rozwiązaniem staje się rezygnacja z obsługi SNMP w całej sieci LAN. Bardzo ważne, oprócz wyłączenia obsługi protokołu SNMP na poszczególnych urządzeniach wewnątrz sieci LAN, jest całkowite zablokowanie ruchu SNMP na wszelkich zaporach sieciowych, szczególnie na zaporach routerów.

Brak komentarzy:

Prześlij komentarz