MaszyneriaLepiej zapobiegać niż leczyć, czyli bezpieczeństwo sieci > redakcja Opublikowane 16 lipca 20090 0 83 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr O sprytnych pracownkiach, niezłomnych specjalistach bezpieczeństwa IT. Jeszcze dziesięć lat temu sprawa była dość prosta. W środku firmowej sieci było bezpiecznie (w miarę). Całe zło (wirusy, włamywacze, złodzieje) czaiło się na zewnątrz – czyli w Internecie. Dzisiaj sprawy się skomplikowały. W środku sieci też bywa niebezpiecznie (port USB i przenośne dyski otworzyły zupełnie nowe możliwości infekowania sieci i kradzieży danych). Za to na zewnątrz są nie tylko źli ludzie ale również pracownicy, współpracownicy, kooperanci, inne oddziały – wszyscy potrzebują bezpiecznego dostępu do firmowych danych. Dzisiaj dostęp do www dla pracowników (kto wyobraża sobie pracę bez tego?) trzeba pogodzić z inteligentną ochroną przed złośliwym oprogramowaniem. Wirusy rozsyłają się za pomocą maili bez wiedzy użytkowników poczty. Programy wykradające dane rozsiane na niektórych stronach internetowych próbują zapisywać się na dyskach użytkowników komputerów. Z pozoru nieszkodliwe aplikacje jak wygaszacze ekranów mogą mieć "dodatkową" funkcję w postaci zapamiętywania znaków wpisywanych przez operatora.Gra toczy się o dużą stawkę – zdobycie hasła do konta w banku internetowym, czy kradzież bazy klientów to dochodowy biznes dla złodziei i ogromne straty dla firm, które padły ofiarami tego typu przestępstw.Znowu ta polityka.Udoskonalanie metod kradzieży danych i szkodzenia użytkownikom komputerów idą na szczęście w parze z rozwojem zabezpieczeń. Niestety rozwój oznacza w tym przypadku również zwiększenie stopnia skomplikowania takich narzędzi. Dzisiaj, żeby dobrze się zabezpieczyć potrzeba przede wszystkim…polityki.Naturalnie nie chodzi o politykę, jaką codziennie karmią nas przedstawiciele narodu. Wprost przeciwnie – żaden prezes firmy nie mógłby pozwolić sobie na nieudolność stratę czasu.Polityka bezpieczeństwa to przemyślany od początku do końca sposób ochrony firmowej sieci i danych przed kradzieżą, czy zniszczeniem. Co to oznacza? Przede wszystkim tyle, że dzisiaj nie wystarczy pójść do sklepu i kupić jednego, czy dwóch urządzenia zachwalane jako "niezawodne w walce z wszelkiego rodzaju zagrożeniami". Choćby były najwyższej jakości, pochodziły od najlepszych producentów – i tak nie zabezpieczą zasobów firmy przed atakiem z zewnątrz. Jakość systemu ochrony nie mierzy się bowiem jakością najlepszych elementów. Przeciwnie – zabezpieczenia są tak dobre jak ich najsłabsze ogniwo. Dlatego właśnie zabezpieczani firmowej sieci, danych i pracowników warto zacząć od najtańszej a jednocześnie najbardziej wydajnej czynności – myślenia. Warto poświęcić czas na zdefiniowanie tego, co chcemy chronić, przed czym, na jakim poziomie i za ile. Największy budżet nie gwarantuje sukcesu – czasem mniej kosztowne rozwiązanie, może być o wiele skuteczniejsze niż kosztowna inwestycja. Pod warunkiem, że zostanie przemyślane od początku do końca, nie będzie miało słabych punktów i zostanie wdrożone konsekwentnie.Jak widać walutą, której kurs stoi na tym etapie najwyżej jest świadomość. Im większa, tym mniejsze szanse na wyrzucenie pieniędzy i niepowodzenie całej operacji.Potraktuj więc poniższe rady jako materiał do przemyśleń, a gdy będziesz myślał o zabezpieczeniu sieci w Twojej firmie, przede wszystkim zastanów się czego potrzebujesz. Jeśli poczujesz, że brakuje Ci wiedzy – skorzystaj z pomocy kogoś, kto będzie umiał zrozumieć Twoje potrzeby i na ich podstawie zaproponować Ci najlepsze rozwiązanie. Nie musi ono być unikalne – wielu producentów np. Cisco Systems dostarcza opisy architektur systemów bezpieczeństwa dla różnych grup odbiorców. Takie rozwiązanie ma tę zaletę, że obejmuje nie tylko architekturę systemu ale również konkretne modele urządzeń, które będą optymalne dla Twojej firmy.Dobry system bezpieczeństwa to przede wszystkim:– Inteligentna ochrona – rozpoznawanie potencjalnie niebezpiecznych prób wejścia do systemu, przy jednoczesnym niezakłócaniu normalnej pracy i komunikacji– Niezawodny i bezproblemowy dostęp pracowników do zasobów informacji z firmowej sieci, bez względu na to gdzie ci pracownicy się znajdują: w biurze, w domu czy w podróży– Kompleksowe rozwiązanie, zawierające zarówno urządzenia sieciowe, jak i funkcje ochrony, powinno umożliwiać firmie obecnie i w przyszłości: komunikację głosową, mobilność, szybką transmisję danych, głosu i obrazu.Sieć strzeżona jak bank Dobry wielopoziomowy system zabezpieczeń sieci można porównać do ochrony stosowanej w bankach:– Opancerzone furgonetki służą bankom do bezpiecznego przewożenia pieniędzy z banku do oddziałów. W sieci funkcję tę spełnia szyfrowanie danych podczas transmisji między punktami w sieci. Chroni to dane przed niepowołanym dostępem– Czytniki kart w banku bronią zaplecze banku przed wtargnięciem osób nieupoważnionych. W sieci funkcję tę spełniają systemy kontroli dostępu, dzięki którym do kluczowych danych firmy nie dostanie się osoba z zewnątrz.– Nadzór i alarmy instalowane w banku są często połączone z systemem szybkiego powiadamiania agencji ochrony i policji. W systemie ochrony sieci też są systemy wykrywania włamań. Jeśli w sieci zostaną wykryte takie niepożądane działania, są one natychmiast blokowane, a powiadomienie o zdarzeniu natychmiast dociera do administratora.– Sejf bankowy skrywa najbardziej wartościowe depozyty, a dostęp do nich jest możliwy tylko po podaniu kodów i haseł. W sieci to również hasła i kody bronią dostępu do kluczowych danych firmy.Na firmowych komputerach są najczęściej przechowywane i przesyłane najważniejsze dla firmy dane oraz informacje handlowe. Nie ma więc powodu, aby tak jak to czynią banki, nie zabezpieczać się przed kradzieżą i szpiegostwem. Wystarczy pomyśleć o skutkach, a wniosek powinien być jeden: lepiej zapobiegać, niż leczyć. Urządzenia Cisco ASA5500http://www.cisco.com/en/US/products/ps6120/index.htmlhttp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/prod_brochure0900aecd80285492.pdfPrzykład urządzenia, którego funkcjonalność można łatwo dostosować do własnych potrzeb i wykorzystywać w różnych miejscach sieci:– szeroki wybór modeli od ASA5505 do ASA5580 – możliwość dobrania urządzenia wg potrzeb od rozwiązań dla małego biura/telepracownika (ASA5505) do szkieletów sieci korporacyjnych (ASA5580)– sprzedawany w postaci prekonfigurowanych zestawów w celu uproszczenia procesu zamawiania i doboru produktu – edycja firewall, brama VPN, IPS, Content Security– rozbudowane możliwości zarządzania – w tym graficzna aplikacja (Cisco Adaptive Security Device Manager (ASDM)) umożliwiająca intuicyjne zarządzanie; interfejs komend dla „prawdziwych twardzieli”, ale również wsparcie dla aplikacji umożliwiających zarządzanie dużymi instalacjami jak Cisco Security Manager(CSM) czy Cisco Security Monitoring, Analysis, and Response System ( MARS)– warte podkreślenia jest fakt, iż dużą uwagę w rozwiązaniach serii ASA Cisco położyło na ochronę instalacji systemów telefonii IP
