Przewodnik dotyczący zabezpieczenia sieci wieloplatformowej.
Wstęp
Dzisiejsze sieci są coraz bardziej różnorodne, zawierają różne rodzaje sprzętu i oprogramowania, pozwalają na uruchomienie wielu systemów operacyjnych, które muszą być w stanie komunikować się ze sobą. Coraz mniej mamy sklepów jedynie z systemem Windows (lub UNIX), natomiast wiele firm posiada domeny systemu Windows równolegle z serwerami UNIX, do których dostęp mają komputery klienckie z systemami Windows, Linux i Mac. Do tej mieszanki należy dodać wiele inteligentnych smartfonów (Windows Mobile, iPhone, Android, Symbian i inne), dla których należy pobrać mail i prawdopodobnie dostać się do innych zasobów sieciowych, a Ty masz prawdziwe wyzwanie. Artykuł ten zajmie się tematem znalezienia odpowiedniej strategii dla zabezpieczenia takiej wieloplatformowej sieci.
Wyzwania dotyczące zabezpieczenia wieloplatformowej sieci
Trudnym zadaniem może okazać się uruchomienie różnych systemów operacyjnych w taki sposób, aby współpracowały ze sobą. Z tego powodu przy wieloplatformowej sieci uwaga przesuwa się z tematu zabezpieczeń w kierunku pytania jak sprawić, by wszystko dobrze działało. Celem staje się możliwość współużytkowania między platformami, a o ograniczeniach tego współużytkowania można zapomnieć lub przynajmniej ich nie akcentować.
Większość personelu IT jest szkolona w zakresie określonego rodzaju systemu (Windows, UNIX, Mainframe lub inne). Często kadra zarządzająca nie rozumie technologii i zakłada, że jeśli dana osoba „zna się na komputerach”, to zna się na wszystkich rodzajach systemów. Nawet jeśli osoba posiada wiedzę ogólną na temat tego, jak zarządzać różnymi platformami, to nie znaczy, że rozumie wszystkie aspekty bezpieczeństwa. Bezpieczeństwo jest bardzo wyspecjalizowanym obszarem, dlatego nie wystarczy sam personel IT, który jest w stanie skonfigurować i zarządzać różnymi rodzajami systemów w sieci, trzeba mieć ludzi, którzy są przeszkoleni w zakresie zabezpieczania różnych rodzajów systemów. Obejmuje to zarówno gruntowne podstawy ogólnych pojęć z zakresu bezpieczeństwa IT, jak i szkolenia specjalistyczne pod kątem poszczególnych dostawców. Pozwoli to na wykorzystanie wbudowanych mechanizmów bezpieczeństwa określonego systemu operacyjnego według swoich potrzeb oraz na zwrócenie się w razie potrzeby do firm zewnętrznych oferujących inne rozwiązania.
Kompetencja częściowo opiera się na zachowaniach rutynowych. Jeżeli dana osoba musi pamiętać różne kroki i procedury dla różnych typów urządzeń, zwiększa się ryzyko pomyłki lub błędnej konfiguracji, co sprawia, że sieć jest bardzo podatna na atak. Dlatego najlepszym wyjściem w przypadku sieci heterogenicznej jest zatrudnienie różnych pracowników, specjalizujących się w różnego rodzaju systemach. Niestety, w czasach gospodarki ekonomicznej, gdzie mantrą jest „zrobić jak najwięcej, jak najmniejszym nakładem środków”, wiele firm nie może pozwolić sobie na luksus zatrudniania wielu specjalistów.
Wykaz sieci
W wielu środowiskach IT, nie było rzeczywistego planu; zamiast tego sieć „tak wyrosła”, jako że nowe potrzeby wymagały zakupu i wdrożenia nowych systemów, a wszystko to działo się w chaotyczny sposób. Pierwszym krokiem do zabezpieczenia sieci jest dokładna znajomość tego, co się ma, a więc sprawdzenie wykazu sprzętu i oprogramowania. Istnieje wiele narzędzi, które mogą być użyte do wykrywania i dokumentowania elementów, tworzących sieć. Kluczem do sukcesu jest wykorzystanie takiego narzędzia, które obsługuje wszystkie systemy operacyjne, istniejące w Twojej sieci.
Platformy, które są najczęściej pomijane (i w ten sposób pozostawione niezabezpieczone lub zabezpieczone za słabo), to te uruchamiane na laptopach oraz telefonach, które nie są na stałe podłączone do sieci, jak również te działające na komputerach wirtualnych. Komputer A może posiadać system Windows jako podstawowy system operacyjny, ale jeśli w systemie tym pracuje wirtualna maszyna z systemem Linux, trzeba traktować ten wirtualny system operacyjny jako kolejny komputer w sieci i odpowiednio go zabezpieczyć. Podobnie należy pamiętać, że wielu użytkowników systemów Linux i Mac również posiada system Windows w środowisku wirtualnym, ponieważ potrzebują niektórych aplikacji systemu Windows, których nie są w stanie uruchomić w jakikolwiek inny sposób. Można także posiadać komputery, zwłaszcza w sytuacji tworzenia lub sprawdzania, z różnymi rodzajami systemów operacyjnych typu „multi-boot”.
Szczegółowy wykaz musi obejmować cały sprzęt i całe oprogramowanie, działające w sieci, nawet jeśli nie znajduje się w sieci cały czas.
Aktualizowanie i/lub modernizacja
Natknąłem się na to zdanie w powieści, którą niedawno czytałem („The Doomsday Key” – „Klucz Apokalipsy” James’a Rollins’a): „Nie ma zamku nie do zdobycia”. To było dobre przypomnienie faktu, że niezależnie od platformy, każdy system, który można podłączyć do Internetu, udostępnia kanał, przez który sprytny napastnik może naruszyć sieć.
Częstym błędem, w oparciu o nieprawdziwe relacje oraz reklamy, jest założenie, że systemy nie-windowsowskie zawsze są „bezpieczne”. Tak nie jest. Na przykład latem zeszłego roku stwierdzono poważną lukę w zabezpieczeniu jądra w większości wersji systemu Linux, co mogło umożliwić całkowite przejęcie kontroli nad komputerem przez atakującego. Pełny artykuł na ten temat.
I pomimo powszechnego przekonania, że systemy Mac nie są zagrożone, w maju zeszłego roku firma Apple wypuściła łatę, która skierowana była do 67 (tak, sześćdziesięciu siedmiu) luk w zabezpieczeniach w OS X i przeglądarce Safari - i nadal pozostała luka w języku Java. Pełny artykuł na ten temat.
W rzeczywistości, specjalista ds. zabezpieczeń Mac - Dai Zovi (autor podręcznika „The Mac Hacker’s Handbook”) mówi, że gdy hakerzy decydują się poświęcić swój czas i wysiłek, obierając za swój cel OS X – system operacyjny staje się bardziej segmentem mainstream – i okazuje się, że jest tak samo podatny na atak jak Windows. A współautor - Charlie Miller - twierdzi, że Mac będzie łatwiejszy do wykorzystania. Pełny artykuł na ten temat.
Nie chodzi tu o to, aby ostro krytykować systemy inne niż Windows, ale aby wyprowadzić z błędu personel IT, któremu wydaje się, że tylko komputery z systemem Windows muszą być regularnie aktualizowane. Tak samo ważne jest wprowadzanie aktualizacji dla komputerów z systemem UNIX/Linux oraz Mac, gdy są one wypuszczane na rynek.
Innym ważnym czynnikiem do rozważenia jest to, że w większości przypadków nowe wersje systemu operacyjnego są bardziej bezpieczne niż stare wersje ze wszystkimi łatami. Na przykład, Windows 7 i Windows Vista zawierają szereg mechanizmów zabezpieczeń, takich jak UAC, tryb chroniony IE, szyfrowanie dysków funkcją BitLocker, itd., natomiast XP tego nie ma. Najnowsza wersja OS X - Snow Leopard, w odróżnieniu od swoich poprzedników, posiada wbudowane wykrywanie szkodliwego oprogramowania (choć nie jest ono bardzo zaawansowane). Ponadto posługuje się silniejszymi sumami kontrolnymi w celu ochrony przed atakami typu uszkodzenia pamięci. Najnowsza wersja OpenSUSE wspiera technologię TPM (Trusted Platform Module). W wielu przypadkach, uaktualnienie do najnowszej wersji, niezależnie od używanego systemu operacyjnego, znacznie poprawia bezpieczeństwo.
To samo dotyczy systemów operacyjnych telefonów komórkowych. Na przykład, nowe iPhone’y mają lepsze funkcje zabezpieczeń, takie jak obsługa skomplikowanych haseł, wykorzystujących znaki alfa, znaki numeryczne i symbole czy możliwość zdalnego usuwania danych, czego początkowy iPhone nie miał.
Uwaga:
Telefony iPhone nadal sprawiają kłopoty z bezpieczeństwem dla środowisk korporacyjnych, ponieważ firma wdraża tylko małą część dostępnych polityk zabezpieczeń programu Exchange, a iTunes, który jest zainstalowany na wszystkich iPhone’ach, może także stanowić zagrożenie bezpieczeństwa.
Dbanie o podstawy
Takie same podstawowe zasady bezpieczeństwa mają zastosowanie zarówno dla sieci heterogenicznych, jak i homogenicznych, więc jest rzeczą oczywistą, że niezależnie od platform(y), należy:
- Zabezpieczyć się dobrym firewall’em/bramą TMG (threat management gateway) oraz systemami wykrywania włamań czy zabezpieczania przed nimi.
- Używać oprogramowania antywirusowego i programów typu anti-malware (w tym dla systemów innych niż Windows) oraz aktualizować definicje.
- Wdrożyć audyt/monitoring bezpieczeństwa w celu wykrywania prób naruszenia.
- Wzmocnić systemy poprzez wyłączenie niepotrzebnych usług.
- Zamknąć nieużywane porty.
- Ograniczyć fizyczny dostęp do systemów.
- Ograniczyć dostęp administracyjny i dostęp do katalogu głównego do osób, które naprawdę tego potrzebują; w systemach UNIX ograniczyć dostęp do katalogu głównego do bezpiecznych terminali.
- Wdrożyć uprawnienia na poziomie plików; w systemach UNIX zrobić partycję systemu plików i używać partycji „tylko do odczytu” dla przechowywania plików, które nie zmieniają się często, natomiast list kontroli dostępu ACL (Access Control Lists) do kompleksowego zarządzania uprawnieniami.
- W systemach UNIX ograniczyć dostęp, jaki mają procesy do systemu plików, przy użyciu polecenia „chroot” oraz interfejsów „unlimit”.
- Egzekwować polityki mocnych haseł.
- Wymagać dwuetapowego uwierzytelniania w środowiskach wysokiego bezpieczeństwa.
- W systemach UNIX korzystać z protokołu SSH (Secure Shell) do zdalnego dostępu do wiersza poleceń.
- Korzystać z szyfrowania: aby chronić pliki na dysku, aby chronić dane przechodzące przez sieć, aby chronić system operacyjny przed nieautoryzowanym dostępem.
- Wdrożyć infrastrukturę klucza publicznego do wydawania certyfikatów cyfrowych.
Zatrudnienie niezależnego audytora bezpieczeństwa
Niezależny audyt bezpieczeństwa może być przydatny do oceny i doradztwa w zakresie wdrażania zabezpieczeń w każdej złożonej sieci, ale w przypadku sieci heterogenicznej jest tym istotniejszy. Firma, która profesjonalnie zajmuje się audytami bezpieczeństwa posiada pracowników doświadczonych w zakresie przeglądu różnych typów systemów i jest na bieżąco w temacie luk oraz nowych rozwiązań, z którymi Twoi pracownicy IT mogli się nie spotkać z powodu braku czasu. W czasie audytu można wykonać testy penetracyjne dla rzeczywistej oceny lokalizacji słabych punktów, można również uzyskać poradę na temat najskuteczniejszych i najbardziej opłacalnych sposobów na uzupełnienie braków.
Podsumowanie
Sieci wieloplatformowe to szczególne wyzwanie w zakresie bezpieczeństwa, którym administratorzy IT muszą stawić czoła, ponieważ sieci takie stają się coraz bardziej popularne. Najważniejszą rzeczą do zapamiętania jest to, że bezpieczeństwo jest procesem, a nie produktem. Należy zastosować takie same podstawowe pojęcia, bez względu na platformę, z tą różnicą, że ich przeprowadzenie odbędzie się w inny sposób w zależności od systemów operacyjnych. Jeśli rozmiar działu IT na to pozwala, w celu zwiększenia ogólnego bezpieczeństwa sieci, należy dokonać podziału kompetencji, który umożliwi, aby różne osoby skupiły się na jednym systemie i w nim się specjalizowały. Jeżeli jest to niemożliwe, warto postarać się o „zewnętrzne oczy” (jedną parę lub jeszcze lepiej kilka), mogące pomóc zidentyfikować luki w zabezpieczeniach, które są zbyt blisko, abyś sam był w stanie je dostrzec, a dodatkowo dostaniesz nowe pomysły na to, jak sobie z nimi poradzić.
Źródło: www.windowsecurity.com |
