www.automatyka-budynkowa.com- artykuły, Bezpieczna sieć LAN
Automatyka Budynkowa

20 Wrzesień 2017 - Witamy

Artykuły branżowe
Artykuły
Katalog branżowy
Katalog
branżowy
Baza firm
Baza firm
Kalendarz
Kalendarz
Forum
Forum
Kontakt
Kontakt
Menu

TOP5 Produkty

TOP5 Firmy

Kalendarz wydarzeń
Wrzesień 2017

PnWtŚr CzPtSoNd
    123
45678910
11121314151617
18192021222324
252627282930 


Artykuły » Bezpieczna sieć LAN


Bezpieczna sieć LAN


Sieć jest warta tyle, ile warte są przechowywane i przetwarzane w niej dane. Utrata, przekłamanie lub kradzież informacji czy niemożność ich przetwarzania w celach zarobkowych to najpoważniejsze zagrożenia. Tracąc dane, nie masz możliwości wyekstrahowania z nich informacji. Kradzież dostarcza ważnych danych twojemu konkurentowi biznesowemu lub przestępcy. Awaria może cię pozbawić możliwości przetwarzania informacji, co może mieć niebagatelne znaczenie przy sprzedaży w internecie lub pisaniu pracy magisterskiej. Utrata poczty elektronicznej oznacza brak kontaktu z klientami oraz dostępu do spraw wewnątrzfirmowych. Jak tego uniknąć? Należy starannie zaplanować budowę infrastruktury IT w kilku ważnych dla bezpieczeństwa obszarach.

1. Bezpieczeństwo fizyczne

Omawiając poszczególne aspekty bezpieczeństwa sieci, często pomija się kluczowe dla niego zagadnienie, czyli zabezpieczenie sprzętu przed dostępem osób niepowołanych.

Fizyczny dostęp do sieci lokalnej daje wiele możliwości: obejście zabezpieczeń bramy internetowej (firewalla), możliwość zastosowania hakerskich trików w warstwie łącza danych, czyli np. MAC flooding, ARP poisoning czy – na nieco wyższym poziomie – DHCP spoofing – technik przechwytywania ruchu (man-in-the-middle) lub unieruchamiania usług (DoS), nie wspominając już o dostępie do konsoli urządzeń sieciowych.

Na bezpieczeństwo fizyczne składa się usytuowanie punktów koncentracji i serwerowni oraz kontrola dostępu do nich. Ze względu na bezpieczeństwo oraz rozprowadzone okablowanie powinny one się znajdować w centralnych częściach budynku, mieć zabezpieczone (okratowane) okna, być wyposażone w czujniki ruchu oraz monitoring. Lista osób mająca fizyczny dostęp do serwerowni powinna być ograniczona do personelu IT.

Wydzielenie osobnego pomieszczenia może stanowić problem dla niedużej firmy. W takiej sytuacji warto zaopatrzyć się w szafę serwerową z niezbędną infrastrukturą (zasilanie, klimatyzacja) z zabezpieczeniem dostępu i umieścić ją w pomieszczeniu administratorów, jednocześnie ograniczając dostęp do samego pomieszczenia. W przypadku rozciągnięcia sieci powyżej zasięgu Ethernetu (więcej niż 100 m) niezbędne jest stworzenie osobnych punktów koncentracji, nierzadko z jednym tylko przełącznikiem. Dobrym rozwiązaniem jest wówczas osobna, zamykana szafka, zainstalowana we wnęce czy ciągu kablowym w publicznym, monitorowanym miejscu.

Fizyczny dostęp do urządzeń sieciowych to także gniazdka sieci w pokojach pracowników. Należy zadbać o to, by nie podłączać do sieci nieautoryzowanych komputerów, np. poprzez sztywne lub dynamiczne, ale ograniczone (do 1–2 adresów) przypisanie adresów MAC do poszczególnych portów przełącznika. Ważne są również zabezpieczenia w topologii logicznej – stworzenie wirtualnych sieci lokalnych (VLAN) pozwala odseparować ruch pochodzący od użytkowników o różnym poziomie uprzywilejowania (serwery, pracownicy biurowi, top management, administratorzy, goście) i kontrolować go mechanizmami bezpieczeństwa (zapora, system zapobiegania włamaniom, antywirus), a także ograniczyć domenę rozgłoszeniową, obciążającą zarówno sieć, jak i urządzenia końcowe.

Im większa sieć, tym bardziej opłaca się zakup nadmiarowych przełączników i wydzielenie z nich dodatkowej warstwy połączeń. Topologia taka – proponowana prze Cisco Systems – umożliwia stworzenie nadmiarowych połączeń pomiędzy poszczególnymi przełącznikami odpowiedzialnymi za dostęp urządzeń (warstwa access), a także balansować obciążeniem sieci (osobne trasy dla poszczególnych VLAN-ów) i agregować połączenia.

2. Niezawodne urządzenia

Jak wiadomo, jakość urządzeń sieciowych i serwerów ma wpływ na bezpieczeństwo danych. Niestety, chęć dokonania oszczędności na krytycznych (i wcale nietanich) instalacjach jest ogromna. Warto jednak pomyśleć o lepszych zarządzanych przełącznikach i markowych serwerach. Te pierwsze oferują mechanizmy umożliwiające tworzenie łączy nadmiarowych i zabezpieczeń przed włamaniami na poziomie warstwy łącza danych. W przypadku przełączników dostępowych należy sprawdzić, czy oferują one zasilanie przez Ethernet (Power over Ethernet – PoE) np. do telefonów IP czy kamer internetowych. Jeśli chodzi o switche warstw wyższych (distribution, core), których nawet kilkuminutowy przestój może przynieść straty, należy brać pod uwagę zakup urządzeń wyposażonych w dwa zasilacze i możliwość ich wymiany w locie (hotswap).

Podobnie jak switche agregujące ruch, najważniejsze serwery powinny mieć zdublowane zasilacze. Możliwe jest wtedy podłączenie ich do dwóch UPS-ów zasilanych z dwóch niezależnych linii, a także wymiana w locie. Serwer powinien mieć możliwość skonfigurowania zainstalowanych dysków jako macierzy dyskowej (można także zrealizować macierz programową). Wówczas nawet awaria dysku zawierającego system operacyjny nie spowoduje długotrwałego przestoju.

3. …i zasilanie

W zależności od tego, jak często i jak długie są przerwy w zasilaniu energią elektryczną, system zasilania serwerowni ma za zadanie podtrzymać funkcjonowanie instalacji podczas krótkiego przestoju oraz umożliwić łagodne zamknięcie serwerów i aplikacji, jeśli przerwa trwa zbyt długo. W najbardziej krytycznych instalacjach, które muszą działać bez przerwy, konieczne jest własne źródło energii (np. spalinowy generator czy ogniwo paliwowe).

System zasilania awaryjnego musi wspomagać wszystkie urządzenia niezbędne do pracy lub zamknięcia systemu. Dotyczy to praktycznie wszystkich serwerów i urządzeń sieciowych (ruterów i przełączników). Aby lokalna awaria zasilania była niewidoczna z zewnątrz, serwery, przełączniki i rutery po drodze do internetu muszą działać. Podtrzymanie ścieżki do sieci pozwala też skorzystać z opcji powiadomienia administratorów o zaniku zasilania e-mailem lub SMS-em przez internet.

Można pozwolić sobie na niezabezpieczenie przełączników, do których podłączone są niepodtrzymywane UPS-ami komputery stacjonarne, jeśli nie pełnią one w topologii roli zapasowej trasy. Warto jednak zastanowić się nad podtrzymaniem zasilania przełączników dostępowych, jeżeli większość podłączonych do nich urządzeń to notebooki. Wówczas przerwa w zasilaniu może pozostać niezauważona w pracy całej firmy.

4. Ochrona przed wirusami i hakerami

Specjaliści od dawna zalecają budowę tzw. trójwarstwowego systemu ochrony. Składa się on z kompleksowego zabezpieczenia bramy internetowej (rozwiązania w rodzaju specjalistycznych ruterów klasy Unified Threat Management, kompleksowe firewalle, systemy detekcji intruzów i zapobiegania włamaniom IDS/IPS, wykrywanie spamu i złośliwego oprogramowania w treści przesyłanych danych), systemu zabezpieczeń na serwerze (program antywirusowy, filtr antyspamowy) i stacji roboczej (indywidualny firewall, program antywirusowy, filtr antyspamowy w kliencie poczty, zabezpieczona przeglądarka, Host Intrusion Prevention, ochrona przez zero-days-attacks).

Rozwiązania te mogą się wydawać zbędne, ale warto pamiętać, że wirusy przedostają się w zaszyfrowanych załącznikach aż do peceta (brama i serwer nie mają wglądu w zaszyfrowaną treść) albo zostają przyniesione wraz z nośnikami wymiennymi czy notebookami. Koszt programu zabezpieczającego jest dość wysoki, ale można skorzystać też z oferty oprogramowania bezpłatnego (np. Comodo Internet Security – antywirus i firewall).

5. Bezpieczna witryna

Wśród nowych, wciąż niedocenianych zagrożeń znajduje się przeglądarka webowa. Jako program najintensywniej wykorzystywany do połączeń ze światem zewnętrznym i ewoluujący w stronę coraz bardziej złożonych możliwości jest szczególnie podatny na ataki. Do listy zabezpieczeń warto więc dopisać moduł sprawdzający, czy witryna, którą odwiedza użytkownik, nie zawiera złośliwego kodu. Modułem takim jest np. McAfee Siteadvisor. Możesz też skorzystać z dodatków blokujących wykonywanie skryptów JavaScript, programów w Javie i Flashu (np. NoScript czy Flash Block do Firefoksa). Pozwalają one skonfigurować zaufane witryny, dzięki czemu ryzyko włamania czy kradzieży danych jest mniejsze, przy jednoczesnym zachowaniu możliwości najważniejszych usług.

6. Szyfrowanie połączeń

Kolejnym obszarem ryzyka jest coraz większa mobilność pracowników i rozproszenie terytorialne. Podstawowe bezpieczeństwo, np. w zdalnym dostępie do poczty czy prostych aplikacji webowych, może zapewnić serwer WWW wspierający protokół SSL. Szyfruje on, niestety, dopiero w warstwie aplikacji, by zapewnić pełną (a więc np. z dostępem do dysków sieciowych czy specyficznych aplikacji) bezpieczną łączność przez internet. Niezbędne jest tu skorzystanie z wirtualnej sieci prywatnej (VPN). Możesz użyć protokołu IPSec do połączenia między oddziałami (jego implementacją jest m.in. uniksowy FreeSWAN). Szyfruje on dane w warstwie sieci, dając nieograniczony dostęp do zasobów sieciowych.

W przypadku pojedynczych, mobilnych pracowników możesz skorzystać z łatwiejszego w użyciu protokołu SSL (możliwości takie ma m.in. bezpłatny OpenVPN na systemy Windows, Linux i Unix). Większość ruterów dostępowych i urządzeń VPN ma zaimplementowaną obsługę VPN, jako bramę sieci można też skonfigurować ruter lub serwer linuksowy czy Windows 2003. Po stronie klienta końcówkę SSL VPN stanowi zazwyczaj applet Javy.

Rozwiązaniem podnoszącym bezpieczeństwo korzystania z VPN-ów jest wykorzystanie wyłącznie aplikacji webowych do pracy zdalnej, a także łączenie z firmą macierzystą wyłącznie z poziomu specjalistycznej maszyny wirtualnej. Nawet jeśli zdalny komputer jest zainfekowany złośliwym oprogramowaniem, nie przeniesie się ono do firmowej sieci.

Korzystanie z dostępu zdalnego, zwłaszcza szyfrowanego, i urządzeń mobilnych ma, niestety, poważną wadę. Jest nią możliwość wycieku z firmy poufnych informacji. Aby temu zapobiec, warto pomyśleć o rozwiązaniu Data Leak Prevention. Oprogramowanie to powinno śledzić dane wypływające z sieci firmowej różnymi drogami: e-mailami, komunikatorami, w postaci wydruków czy plików na nośnikach wymiennych (DVD, pendrive’y), a także umożliwiać kontrolę nad danymi, tj. określać, kto i co może z tymi danymi zrobić (wydrukować, skopiować, przenieść), jednocześnie możliwie najmniej ingerując w prywatność pracowników. Producentami rozwiązań DLP są m.in. Websense, Trend Micro, McAfee, RSA Security, CA.

7. System pod kontrolą

Nawet w najlepiej zaprojektowanej sieci zdarzają się awarie i sytuacje nieprzewidziane. Żeby zmniejszyć czas reakcji na tego rodzaju zdarzenia, należy wdrożyć oprogramowanie monitorujące. System taki pozwala kontrolować serwery i stacje robocze za pomocą różnych systemów operacyjnych, rutery, przełączniki, firewalle, drukarki sieciowe, a także poszczególne usługi i aplikacje, powiadamiać o ich awariach za pomocą e-maila, SMS-a, restartować programy, planować przerwy w pracy, raportować o dostępności serwisów i aplikacji na potrzeby umów serwisowych SLA.

Do tego rodzaju programów należą: bezpłatne Nagios, OpenNMS, Argus, Cacti i BigSister, a także komercyjne CA eHealth, DopplerVue, GroundWork Enterprise (wersja GPL: Community) czy SolarWinds Orion.

8. Backup i bezpieczeństwo danych

Najcenniejszą częścią zasobów sieci są dane. Bez nich jakakolwiek instalacja jest bezużyteczna, zaś samo ich stworzenie pochłonęło mnóstwo czasu i energii. By skutecznie i niedrogo chronić dane, musisz stworzyć politykę i scenariusze zabezpieczenia danych. Obejmują one backup (tworzenie bieżących kopii roboczych) i archiwizację danych.

Wybierz dane do backupu

Aby wybrać dane do backupu, musisz odpowiedzieć na wiele pytań, z których najważniejsze to: utrata jakich danych zagrozi ciągłości pracy twojej firmy? Gdzie znajdują się newralgiczne dane? Skąd tam trafiają? Jaka jest ich objętość? Jak często podlegają zmianom? Na część tych pytań już znasz odpowiedź, część możesz poznać, obserwując działania czy zwyczaje użytkowników, a także uruchamiając oprogramowanie analizujące strukturę plików (ich typ oraz czas, jaki upłynął od ostatniego zapisu).

Strategie backupu

Jaką strategię wybrać? Możliwości jest kilka. Najważniejsze dane powinny być kopiowane na bieżąco. Dotyczy to np. firmowych danych finansowych (księgowość) czy najważniejszych dokumentów. W przypadku danych zgromadzonych na serwerze rolę taką odgrywać będzie macierz dyskowa. W przypadku danych przetwarzanych na pecetach, np. dokumentów tekstowych, arkuszy kalkulacyjnych, możliwe jest ich kopiowanie na bieżąco na serwer, np. do katalogu użytkownika. Umożliwia to np. Novell iFolder – pakiet do automatycznego kopiowania, synchronizacji i współdzielenia plików. Możliwe jest również użycie w tym celu innego programu lub własnego skryptu do synchronizacji zawartości wybranych katalogów z peceta z serwerem.

Wykorzystanie tej metody w przypadku PC częściowo zwalnia cię od kłopotliwego instalowania agentów backupu na każdym z komputerów. Wystarczy, że określisz obszary chronione (synchronizowane) i uruchomisz program synchronizujący wraz ze startem systemu operacyjnego na stacji roboczej. Dodatkową zaletą metody backupu polegającej na synchronizacji jest jej natychmiastowy charakter – wszelkie zmiany w danych są uwzględniane natychmiast, utrata źródłowego nośnika praktycznie nie powoduje strat w danych. Dane kopiowane są też w niewielkich porcjach (mogą to też być kopie delta), co w niewielkim stopniu obciąża sieć. Wadą jest wysoki koszt i uzależnienie od sprawności sieci. Backup online nie chroni przed błędami użytkowników – przypadkowe skasowanie plików czy działalność złośliwego oprogramowania natychmiast ma wpływ na treść kopii zapasowej. Skuteczny scenariusz zabezpieczenia stacji roboczej wymaga wykonania co jakiś czas snapshotu. Może być on jednak wykonany z kopii przechowywanej na serwerze.

Jeśli serwer nie ma miejsca na więcej dysków, możesz wykorzystać urządzenie NAS (Network Attached Storage). Tego specjalizowanego serwera plików możesz użyć do szybkiego backupu danych zarówno z serwerów (okresowo), jak i stacji roboczych (online). Jeśli zamierzasz używać NAS wyłącznie do celów backupu danych – a więc sekwencyjnego zapisu i odczytu – nie musisz kupować droższych dysków i kontrolera SCSI – wystarczą napędy SATA.

Kiedy kluczowy jest czas...

Backup planowany wymaga wyznaczenia okna czasowego, tj. przedziału czasu, w którym możliwe jest – bez szkody dla użyteczności instalacji – skopiowanie, skompresowanie i rozmieszczenie znacznej ilości danych na nośnikach. Wybierając okno czasowe, należy wziąć pod uwagę potężne transfery dyskowe i sieciowe, dlatego zazwyczaj najlepszą porą na backup serwerów jest środek nocy. Wybór typu backupu (pełny, przyrostowy, różnicowy) podyktowany jest czasem, jaki możemy przeznaczyć na backup, oraz wielkością posiadanego miejsca.

Zazwyczaj backup serwerów odbywać się będzie metodą disk-to-disk-to-tape, co oznacza, że sporządzana kopia danych zostanie najpierw zapisana na szybkim nośniku, a dopiero później przeniesiona na znacznie wolniejszą taśmę. Skraca to czas pracochłonnego opracowania i zapisu właściwej kopii, która – jeśli ma efektywnie wykorzystywać zasoby – powinna być skompresowana i zaplanowana, tak by najlepiej zmieścić poszczególne pliki archiwalne na taśmach. Do sporządzenia kopii zapasowych pod Linuksem możesz użyć oprogramowania w rodzaju Amanda, Bacula czy Mondo Rescue.

Jeżeli nie masz w swojej sieci specjalistycznego serwera backupu, możesz wykonać prowizoryczną instalację, udostępniając fragmenty dysków poszczególnych stacji roboczych innym stacjom jako ich dyski sieciowe (np. Y: i Z: – każda stacja powinna mieć po dwa miejsca docelowe) i kopiując tam dane na bieżąco albo w zaplanowanym czasie. Ostatnim sposobem archiwizacji jest skorzystanie z usług firm (np. Mozy, iDrive), które oferują backup online przez internet. Jest wygodne i skuteczne, jednak sprawdza się tylko przy małej ilości kopiowanych danych.

Autor: Maciej Koziński

Dodano: 8.09.2009

SKLEP INTERNETOWY


Nowości w katalogu



PARTNERZY SERWISU