Академический Документы
Профессиональный Документы
Культура Документы
PRZYKADOWY ROZDZIA
SPIS TRECI
Bezpieczestwo w sieci
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Internet, oferuje takie same moliwoci tym, ktrzy chc wykorzysta go dla wsplnego
dobra, jak i tym, ktrzy widz w nim instrument wykorzystywany do niesienia za.
Zamierzeniem tej ksiki jest wyposaenie specjalistw zajmujcych si kwestiami
bezpieczestwa w przewodnik, ktry przeprowadzi ich przez cay proces tworzenia
bezpiecznej infrastruktury internetowej: od stworzenia polityki bezpieczestwa do
bezpieczestwa realnego. Autorzy skupiaj si na rzeczywistych, znanych im
z wieloletniego dowiadczenia zagroeniach (s pracownikami firmy TrustWave
Corporation, zajmujcej si zabezpieczeniami sieci komputerowych).
Rzeczywiste przypadki, moliwe do zastosowania rozwizania i daleko posunity
realizm to jest to, co odrnia t ksik od innych publikacji. Poznasz wszystkie
najwaniejsze technologie, ktre pozwol Ci bezpiecznie komunikowa si
z oglnowiatow sieci. Ksika nie tylko przedstawi je teoretycznie, lecz dostarczy Ci
sprawdzone, skutecznie dziaajce rozwizania.
Po przeczytaniu bdziesz bogatszy o wiedz na temat:
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
O Autorach ...................................................................................... 11
Wprowadzenie ................................................................................. 13
Rozdzia 1. Pojcia kluczowe: ryzyko, zagroenia i wraliwo systemu ............... 17
Pierwsze kroki ...................................................................................................................17
Okrelenie zasobw...........................................................................................................19
Informacje zastrzeone i wasno intelektualna ........................................................19
Reputacja firmy lub jej wizerunek..............................................................................20
Procesy biznesowe ......................................................................................................20
Zagroenia.........................................................................................................................20
Zagroenia wewntrzne ..............................................................................................21
Zagroenia zewntrzne ...............................................................................................23
Okrelanie ryzyka..............................................................................................................24
Podsumowanie ..................................................................................................................25
Bezpieczestwo w sieci
Wyznaczanie drogi pakietw......................................................................................68
Oglny opis TCP/IP....................................................................................................69
Usuga identyfikacji nazw domen...............................................................................71
Zarzdzanie Internetem .....................................................................................................74
ICANN........................................................................................................................75
Rejestracja nazw domen .............................................................................................77
Bazy danych whois .....................................................................................................78
Co sprawia, e Internet jest (nie)bezpieczny?...................................................................79
Brak wbudowanych technologii zabezpieczajcych...................................................80
Domniemane zaufanie ................................................................................................80
Brak uwierzytelniania .................................................................................................81
Anonimowo .............................................................................................................81
Brak prywatnoci ........................................................................................................82
Brak centralnego zarzdzania systemami bezpieczestwa i danymi logowania ........82
Codzienne praktyki suce zachowaniu niezbdnego poziomu bezpieczestwa
nie s atwe!..............................................................................................................83
Dlaczego Internet jest tak atrakcyjny dla biznesu? ...........................................................83
Obsuga serwisw sieciowych ....................................................................................84
Przekazywanie danych................................................................................................85
Usugi informacyjne....................................................................................................85
Usugi finansowe ........................................................................................................86
Produkty......................................................................................................................86
Podsumowanie ..................................................................................................................87
Spis treci
3
Oglne wskazwki dotyczce konfiguracji sieci domowych ...................................133
Podsumowanie zagadnie dotyczcych protokow sieciowych
z rodziny Microsoft ................................................................................................133
Krtka wzmianka o innych protokoach sieciowych ......................................................133
Podsumowanie ................................................................................................................135
Bezpieczestwo w sieci
Struktura /etc/pam.conf.............................................................................................221
Przykady dyrektyw PAM.........................................................................................223
Uniksowe usugi sieciowe i sposoby ich zabezpieczenia................................................224
Dostp zdalny i transfer plikw ................................................................................225
Graficzny interfejs uytkownika...............................................................................226
RPC ...........................................................................................................................229
NFS ...........................................................................................................................230
Bezpieczestwo oprogramowania...................................................................................232
Zaczynamy od bezpiecznego systemu operacyjnego ...............................................232
Bezpieczestwo serwera sieciowego ........................................................................234
Bezpieczestwo serwera poczty ...............................................................................235
Bezpieczestwo serwera nazw..................................................................................238
Bezpieczestwo serwerw ftp...................................................................................243
Podsumowanie ................................................................................................................243
Spis treci
5
Dyspozycyjno (HA High Availability).............................................................297
Platformy zapr sieciowych......................................................................................299
Integracja funkcji ......................................................................................................303
Narzdzia ochrony przed DoS ..................................................................................305
Wydajno i efektywno pracy ...............................................................................306
Implementacja i wskazwki ............................................................................................308
Architektura zapory sieciowej ..................................................................................308
Wykrywanie wama ................................................................................................309
Zagadnienia zwizane z translacj adresw .............................................................309
Zoone zestawy regu ..............................................................................................311
Rejestracja danych dziennika zdarze, monitorowanie i audyt ................................311
Saboci zapr sieciowych ..............................................................................................313
Ukryte kanay............................................................................................................313
Bdy i wady zapr sieciowych ................................................................................314
Podsumowanie ................................................................................................................314
Bezpieczestwo w sieci
Okrelanie czasu zdarzenia .......................................................................................364
Tworzenie banerw...................................................................................................364
Tworzenie sum kontrolnych .....................................................................................365
Reakcja na incydent w czasie rzeczywistym...................................................................365
Polityka reakcji .........................................................................................................365
Procedury reagowania...............................................................................................366
Rola i zakres odpowiedzialnoci jednostek wewntrz organizacji ...........................366
Szkolenie...................................................................................................................367
Wyciganie wnioskw ..............................................................................................367
Co oznacza termin przestpstwo elektroniczne? .........................................................368
Dopuszczalno dowodw cyfrowych......................................................................369
acuch dowodowy i dokumentacja ........................................................................369
Dlaczego wane jest korzystanie z licencjonowanego oprogramowania? ...............371
Wiarygodno osoby prowadzcej dochodzenie ......................................................372
Zagadnienia odpowiedzialnoci prawnej i prawa do prywatnoci ...........................372
Techniki dochodzeniowe.................................................................................................373
Zabezpieczenie miejsca przestpstwa.......................................................................373
Wyczanie urzdze ................................................................................................374
Kopiowanie dyskw twardych i dyskietek ...............................................................374
Przeszukiwanie dyskw twardych ............................................................................375
Prowadzenie audytu systemu....................................................................................378
ledzenie intruza.......................................................................................................383
Analiza przypadkw........................................................................................................386
Hakowanie witryny sieciowej...................................................................................386
Niestabilni pracownicy IT.........................................................................................387
Naduycie zasobw przedsibiorstwa ......................................................................388
Kilka sw na temat anonimowych publikacji..........................................................389
Wsppraca z wymiarem sprawiedliwoci......................................................................390
Podsumowanie ................................................................................................................391
Bibliografia......................................................................................................................392
Skorowidz...................................................................................... 417
Rozdzia 2.
Tworzenie bezpiecznej
infrastruktury sieciowej
W poprzednim rozdziale omawialimy rnego rodzaju zagroenia, ktre wywouj
potrzeb zapewnienia bezpieczestwa naszym zasobom. Doszlimy do wniosku, e
prawdziwym celem dobrego systemu bezpieczestwa jest ochrona naprawd istotnych zasobw firmy, ktrych utrata bd uszkodzenie moe wpyn na zaprzestanie
lub zakcenie dziaalnoci przedsibiorstwa. Takimi wanymi zasobami mog by:
obraz i wizerunek firmy, jej wytwory, mechanizmy dystrybucji produktw, wasno
intelektualna lub zdolno do prowadzenia dziaa handlowych. Na poziomie technicznym zwykle skupiamy si na ochranianiu systemw a nie samych zasobw. Administratorzy koncentruj si najczciej na zapewnianiu najnowszych uaktualnie i atek
systemowych, na wprowadzaniu programowych poprawek, ktrych celem jest utrudnienie zadania wamywaczowi, bd na monitorowaniu plikw z raportami w poszukiwaniu podejrzanych zachowa uytkownikw systemu. Na og nie myl oni o tym,
czy ich dziaania pasuj do oglnego obrazu i jak wspgraj z polityk i procedurami
bezpieczestwa obowizujcymi w ich miejscu pracy.
Potrzeba bezpieczestwa
Zamierzeniem autorw jest przedstawienie w tym rozdziale tego, w jaki sposb odosobnione czynniki, jak zarzdzanie, systemy, architektura, polityka bezpieczestwa
i audyt, skadaj si na pewn cao plan bezpieczestwa. Celem nadrzdnym planu
jest zapewnienie ochrony zasobw i funkcji biznesowych przedsibiorstwa, a jego
wdroenie przekada si na praktyczne rozwizania suce na przykad ochronie serwerw sieciowych i pocztowych. Umiejtno spojrzenia na cao zagadnienia z szerszej
perspektywy jest tym, co odrnia prawdziwego specjalist od zwykego, cho dobrego,
technika. Ksika ta w gwnej mierze opisuje rne zagadnienia techniczne takie, jak
sposb zabezpieczenia serwera czy wzmocnienia bezpieczestwa systemu Linux.
Jednak ten rozdzia, w odrnieniu od kolejnych, umoliwia spojrzenie na zagadnienie
z pewnej odlegoci pozwalajcej na waciw ocen prawdziwej wagi bezpieczestwa.
28
Bezpieczestwo w sieci
29
przetwarzania informacji o numerach kart kredytowych klientw dokonujcych zakupw poprzez witryn internetow; dla czonkw zarzdu bezpieczestwo oznacza
stan, w ktrym firma jest odpowiednio chroniona przed stratami, a oni sami si do tego w jaki sposb przyczynili. Specjalista IT znajduje si gdzie pomidzy tymi rnymi stanowiskami i przejmuje si nie tylko technicznymi aspektami zapewnienia
bezpieczestwa, ale i takimi zagadnieniami, jak zachowanie prywatnoci klientw,
poprawny audyt i kontrola nad konfiguracjami sprztowymi i programowymi.
Czsto rnym funkcjom i poziomom odpowiedzialnoci towarzyszy obojtny stosunek do poczyna wsppracownikw administrator nie przejmuje si procedurami
i procesem, a menedera nie interesuje proces implementacji rozwiza bezpieczestwa. Z racji tego, e ksika ta skierowana jest w gwnej mierze do czytelnikw, do
ktrych naley zajmowanie si kwestiami technicznymi tj. specjalistw IT, projektantw stron i administratorw, uznalimy, i wane jest, aby zaznajomi ich z caoci zagadnienia ochrony zasobw informacyjnych. Powd jest prosty naprawd
powinni oni by zainteresowani obowizujc polityk bezpieczestwa i caociowym
procesem. W kolejnych podrozdziaach znajd si przemylenia dotyczce aspektu
bezpieczestwa informacji, na ktry spojrzymy z perspektywy realizatorw, administratorw i dyrektorw technicznych. Chcielibymy pokaza im obszary, na ktre szczeglnie powinni zwrci uwag i, by moe, uczuli ich na niektre komponenty caociowego zagadnienia zapewnienia bezpieczestwa czasami umykajce uwadze.
30
Bezpieczestwo w sieci
Te cztery komponenty wchodz w skad procesu, ktry graficznie moe by przedstawiany jako koo bezpieczestwa.
Rysunek 2.1.
Proces zapewnienia
bezpieczestwa
W stadium nazwanym ocena i polityka organizacje okrelaj swoje wymagania dotyczce bezpieczestwa, a take zakres odpowiedzialnoci i przydzielaj funkcje organizacyjne. Na tym etapie moe take nastpi przegld aktualnych mechanizmw bezpieczestwa i podjcie decyzji o tym, czy s one wystarczajce. Wyniki analizy przekadaj
si na zasady polityki bezpieczestwa, w ktrej definiuje si sposoby i metody ochrony zasobw firmy.
Kiedy polityka i procedury bezpieczestwa s ju zdefiniowane, przechodzimy do kolejnego stadium nazwanego ochron zasobw. W tej fazie wprowadza si waciwe rodki
ochronne odpowiadajce poszczeglnym elementom polityki bezpieczestwa. rodki te
mog mie charakter proceduralny (na przykad regularne przegldanie plikw raportw
systemowych) lub implementacyjny (na przykad instalacja zapr sieciowych).
Po zastosowaniu pewnych rodkw zapewnienia bezpieczestwa naley sprawdzi ich
efektywno. Ten sprawdzian odbywa si podczas fazy nazwanej monitorowanie i wykrywanie. Jeeli na przykad nigdy nie przygldasz si ruchowi, jaki odbywa si poprzez zainstalowany firewall, moesz by pewny, e nie wiesz, czy poprawnie spenia
on swoje zadanie.
I wreszcie, jako e adne rodki nie zapewniaj 100% bezpieczestwa, w procesie musi
by miejsce na faz zwan reakcj i odzyskiwaniem. Musisz wiedzie na przykad,
jak powiniene zareagowa w przypadku ataku typu denial-of-service (w dowolnym
tumaczeniu blokada usug w dalszej czci ksiki uywany bdzie skrt DoS
dop. tum.). Czy wiesz, kogo powiniene wtedy powiadomi, do kogo zadzwoni?
A jeeli nastpi awaria serwera sieciowego i strona korporacyjna przestanie by dostpna dla internautw? Czy wiesz, jakie dziaania naley podj, aby znw dziaaa?
31
Ocena i polityka
Faza ta wydaje si by dla specjalistw IT najmniej interesujca. Dzieje si tak prawdopodobnie dlatego, e wie si ona z potrzeb wielu rozmw, wywiadw i mnstwem pracy papierkowej i niewiele ma wsplnego z tworzeniem i zarzdzaniem
serwerami, pisaniem kodw i projektowaniem nowej architektury sieciowej. Oglne
odczucie, ktre towarzyszy przechodzcym przez to stadium, wie si z przekonaniem o niskiej wartoci tych dziaa by moe dlatego, i w tej fazie nie dostajemy
odpowiedzi na pytanie jak?. Wynikiem zakoczonej fazy oceny jest tylko kilka co
(naley zrobi)?
Przyjta polityka bezpieczestwa nie powie ci na przykad, e potrzebujesz zastosowania wirtualnej sieci prywatnej. Bdziesz wiedzia tylko o istnieniu potrzeby zabezpieczenia przesyu informacji pomidzy siedzib firmy a filiami, w ktrych korzysta
si z dostpu zdalnego. Taka informacja nie jest zbyt ekscytujca. Z drugiej jednak
strony pewna grupa specjalistw IT wydaje si by zadowolona z posiadania jasno
okrelonej polityki bezpieczestwa wskazujcej, ktre elementy s waniejsze od innych. Oglnie mwic, polityka pomaga im zdefiniowa wasne cele i, patrzc na to
z perspektywy walki o fundusze, stanowi siln kart przetargow podczas okrelania
budetu. Jeeli na przykad powiesz swemu szefowi: Prosz posucha, potrzebujemy dyspozycyjnej zapory sieciowej i bdzie to kosztowao 200 tys. zotych, pierwsz reakcj zapewne nie bdzie natychmiastowe wystawienie zlecenia zakupu. Jeeli
jednak inaczej ubierzesz to w sowa, mwic: Prosz posucha, nasza polityka bezpieczestwa zakada, e przez 99,9% czasu bdziemy potrzebowali dostpu do sieci
oglnowiatowej potrzebujemy nowej zapory sieciowej, wtedy prawdopodobnie
reakcja bdzie bardziej pozytywna. Jeli szef okae si mao podatny na tego rodzaju
propozycje, moesz wspomnie, e zarzd powoa grup specjalistw, ktrych zadaniem bdzie przeprowadzenie sprawdzianu zgodnoci sytuacji w firmie z zaoeniami
32
Bezpieczestwo w sieci
Programy IA
Punktem wyjcia dla procesu zapewnienia bezpieczestwa s czynnoci na poziomie
organizacyjnym a nie fizycznym, na ktrym zaczynasz od konfiguracji serwera czy
systemu operacyjnego. Przywoujc dobrze znan i troch oklepan analogi, nie zbudujesz domu, ktry ma ci suy przez lata, stawiajc go na sabych fundamentach.
W przypadku procesu bezpieczestwa fundamentem jest program ochrony informacji
IA (skrt IA pochodzi od angielskiego information assurance). Mwic o IA, mamy
na myli program czcy wszystkie aspekty bezpieczestwa, poczynajc od odpowiedzialnoci organizacyjnej do rl pojedynczych osb, od caoci acucha odpowiedzialnoci do mechanizmw audytu. Pierwsz decyzj, jaka jest podejmowana
podczas programu IA, jest wskazanie pewnej osoby wewntrz firmy, ktra bdzie posiadaa waciwe upowanienia i bdzie odpowiedzialna za przeprowadzenie programu IA w przedsibiorstwie. Penomocnictwo i obowizki tego rodzaju mog by
udzielone pojedynczej osobie albo te caemu pionowi lub dziaowi w firmie. Odpowiedzialno obejmuje podjcie kompleksowych dziaa zmierzajcych do zapewnienia bezpieczestwa zasobom informacyjnym i systemom sucym do przetwarzania
chronionych informacji.
Zwykle programem IA kieruje dyrektor IA, ktry odpowiada bezporednio przed prezesem lub rad nadzorcz przedsibiorstwa. Wewntrz kadej organizacji, czy bdzie
to dzia zasobw ludzkich (HR), IT, pion produkcji, sprzeday czy te pion operacyjny,
kto sprawuje funkcj specjalisty IA. Jest to osoba kontaktowa, jeli chodzi o wszystkie sprawy zwizane z zagadnieniami bezpieczestwa w firmie, i skada raporty bezporednio dyrektorowi IA. W zalenoci od wielkoci firmy i jej potrzeb czowiek ten
moe by zatrudniony na p etatu bd te moe to by jego jedyne zajcie. Kada
z wyznaczonych osb ma wpyw na rozwj i monitorowanie zgodnoci programu
z przyjt w firmie polityk bezpieczestwa.
Podstawowym celem poprawnie wdroonego programu IA ma by uruchomienie koa
bezpieczestwa, ktre zacznie dziaa we wszystkich dziaach i pionach przedsibiorstwa. Do zada jednostkowych zalicza si:
33
bezpieczestwa.
4. Implementacj rodkw technicznych sucych do wdraania polityki
bezpieczestwa.
5. Wprowadzenie w ycie procedur administracyjnych sucych do wdraania
polityki bezpieczestwa.
6. Monitorowanie i ulepszanie programu IA.
Rozumienie wagi programu IA
Pewna firma telekomunikacyjna zlecia nam niedawno przeprowadzenie oceny stanu bezpieczestwa. Na pocztku procesu stwierdzilimy, e nikt spoza pionu IT nie tylko nie zosta powiadomiony o fakcie przeprowadzania takiej oceny, ale e w trakcie operacji nawet
nie planowano adnej wsppracy pomidzy przedstawicielami innych dziaw. Odpowiedzialno za polityk bezpieczestwa w firmie spoczywaa na pracowniku z dziau HR, ale
osoba ta nie miaa adnych uprawnie do wydawania decyzji zwizanych z pozostaymi dziaami czy to pionem produkcji czy te centrum operacyjnym.
Kiedy wytumaczylimy, na czym waciwie polega proces oceny, nasze wyjanienia spowodoway konieczno zastanowienia si nad rzeczywistymi potrzebami firmy. Ostatecznie
nasz projekt zosta zaprezentowany CEO, ktry wyznaczy zastpcw kierownikw kadego
dziau jako wspodpowiedzialnych za proces oceny bezpieczestwa. Pierwszym naszym
zadaniem, jeszcze przez rozpoczciem caoci procesu, bya wic pomoc w stworzeniu
struktur organizacyjnych i uwiadomieniu celw programu IA. Efektem kocowym byo przesunicie odpowiedzialnoci za proces oceny na wyszy poziom, poniewa osoba odpowiedzialna za program IA skadaa raporty bezporednio czonkom rady nadzorczej.
Gdyby program przeprowadzony zosta w sytuacji organizacyjnej, ktr zastalimy pierwszego dnia, raporty o stanie bezpieczestwa mogyby ugrzzn na poziomie pracownika HR
penicego obowizki specjalisty IA. Staoby si tak niechybnie, gdyby ocena bezpieczestwa stawiaa kogo w zym wietle (szczeglnie gdyby chodzio o pracownikw z dziau
HR). Po zmianach organizacyjnych wszystkie uwagi mogyby dociera (gdyby okazao si to
konieczne) bezporednio do rady nadzorczej firmy. Byy take inne zalety tych zmian. Dziki
moliwoci konsultacji z menederami, zastpcami kierownikw itp. grupa ludzi zajmujca
si przeprowadzaniem oceny moga teraz zebra duo wicej istotnych informacji dotyczcych struktury przedsibiorstwa, zasobw krytycznych. Informacji byoby mniej, gdyby ocena
ograniczya si tylko do pracownikw pionu IT.
Najwaniejsze pytanie, ktre zadawalimy, brzmiao: Jaka strata lub jakiego rodzaju przerwa w dziaalnoci moe spowodowa bankructwo firmy? Nie jest to pytanie, na ktre potrafi odpowiedzie zwyky administrator systemu. Potrafi za to kto z grona kierowniczego.
Nasze dziaania doprowadziy do przeprowadzenia oceny stanu bezpieczestwa w firmie,
ale take do okrelenia programu IA i zdefiniowania pierwszej w historii firmy polityki bezpieczestwa. Przytoczony tutaj przykad wskazuje wyranie, jak wane jest rozpoczcie procesu od odpowiedniego miejsca i stworzenie podwalin procedur i polityki bezpieczestwa.
Elementy te s waniejsze ni zbyt pochopne koncentrowanie si na aspektach technicznych.
34
Bezpieczestwo w sieci
Ocena funkcjonalna
Jeli w firmie zdefiniowano ju program IA lub przynajmniej okrelono rol i zakres
odpowiedzialnoci osoby, ktrej zadaniem bdzie przeprowadzenie procesu oceny,
nastpnym krokiem jest ocena funkcjonalna. Cel tej fazy jest jasno okrelony: identyfikacja zasobw informacyjnych bdcych w posiadaniu organizacji i klasyfikacja ich
w zalenoci od poziomu krytycznoci, wagi, wartoci i wpywu, jaki miaaby ich
utrata na dziaalno firmy.
Na tym etapie w duej mierze bdziemy mieli do czynienia z tzw. robot papierkow, ktrej rezultatem niekoniecznie musi by rekomendacja zakupu nowej zapory
sieciowej czy zalecenie wskazujce na konieczn zmian dugoci hasa i jego formy
(skadu hasa). Jednym z najwaniejszych elementw przydatnych nam w dalszej pracy, a jednoczenie pozornie nie majcym adnego zwizku z zagadnieniami bezpieczestwa jest tzw. matryca krytycznoci (tj. matryca, w ktrej sklasyfikowane bd
zasoby informacyjne, przy czym gwnym kryterium bdzie waga danych zasobw
ich krytyczno z punktu widzenia dziaalnoci firmy).
Zanim zdecydujesz si na opuszczenie pozostaej czci rozdziau, dobrze by byo
gdyby powici troch czasu, eby dowiedzie si, czym tak naprawd jest matryca
krytycznoci. Podstawowym powodem wymuszajcym na nas utworzenie matrycy
krytycznoci jest stwierdzenie, i dopki nie wiesz, ktre zasoby s rzeczywicie
istotne z punktu widzenia dziaalnoci organizacji, nie znasz ich wpywu na procesy
biznesowe zachodzce w firmie i nie wiesz, co staoby si z przedsibiorstwem, jeli
dane zasoby ulegyby zniszczeniu, dopty nie okrelisz poprawnie niezbdnych rodkw bezpieczestwa. Jako administrator moesz na przykad spdza mnstwo czasu,
zabezpieczajc serwer sieciowy i nie przejmowa si ochron istotnej bazy danych,
ktra w tym czasie mogaby by bez trudu spldrowana czy wykradziona. Jeeli w takim przypadku wamanie na serwer przynosi nieporwnywalnie nisze straty ni
utrata danych z bazy, twoje wysiki id na marne. Bdc pracownikiem dziau IT,
moesz niestety nie wiedzie, gdzie ukryte s prawdziwe skarby. Ta wiedza czsto
dana jest menederom, czonkom zarzdu i innym pracownikom firmy, ktrzy nie
nale do kadry pracowniczej pionu IT.
Jeli wszyscy ci ludzie dobrze wykonuj swoj prac, czonkowie zespou dokonujcego oceny zajm si wszystkimi elementami, ktre maj jakikolwiek wpyw na bezpieczestwo zasobw. Elementy te bd si zmienia w zalenoci od rodzaju dokonywanej oceny i nazewnictwa stosowanego przez dokonujcych analizy. Mona
jednak uzna, e w mniejszym lub wikszym stopniu pokrywa si bd z elementami
wyszczeglnionymi poniej:
polityka;
zarzdzanie ryzykiem;
zarzdzanie i kontrola nad kontami uytkownikw;
sterowanie konfiguracj sprztow i programow;
kontrola sesji;
35
bezpieczestwo sieci;
dostp zdalny;
administrowanie systemem;
reakcja na incydent;
audyt;
ochrona antywirusowa;
planowanie reakcji na przypadkowe zdarzenia;
kopie bezpieczestwa i odzyskiwanie;
konserwacja, utrzymanie sprztu itd.;
bezpieczestwo fizyczne;
aspekty bezpieczestwa w odniesieniu do personelu;
szkolenia i zwikszanie wiadomoci dotyczcej bezpieczestwa;
odzyskiwanie danych po naruszeniu bezpieczestwa.
36
Bezpieczestwo w sieci
Poufno co stanie si, gdy dany zasb zostanie ujawniony nieodpowiednim
osobom?
Integralno co stanie si, gdy informacja zostanie w jaki sposb uszkodzona
lub zmodyfikowana?
Dostpno co stanie si, gdy zasb bdzie przez pewien czas niedostpny?
Poufno
Integralno
Dostpno
Lista pac
W matrycy z powyszej tabeli uwzgldniono dwa zasoby: baz danych o klientach i list
pac. Przyporzdkowane zasobom wartoci wpywu pokazuj, e jeeli baza zawierajca dane o klientach zostanie ujawniona (na przykad trafi do konkurencji lub do
szerszego grona osb nieuprawnionych), to bdzie to miao bardzo duy wpyw na
dziaalno firmy (z punktu widzenia poufnoci). Jeli baza zostanie w jaki sposb
uszkodzona, take bdzie to zwizane z wysokim wpywem na codzienn dziaalno
firmy (z perspektywy integralnoci), bo by moe jest ona wykorzystywana podczas
sprzeday produktw przedsibiorstwa. Jeeli baza danych stanie si przez pewien czas
niedostpna, wpyw na dziaalno firmy bdzie stosunkowo niski (patrzc z punktu
widzenia atrybutu dostpnoci), dlatego e wgld w dane klientw nie jest niezbdny
przez cay czas. Matryca krytycznoci moe wspomc twrcw polityki bezpieczestwa w procesie decyzyjnym podczas przydzielania waciwego poziomu zabezpieczenia poszczeglnym zasobom firmy i przekada si bezporednio na rodki wdraane przez pracownikw dziau IT.
37
Przeczytaj jeszcze raz ostatnie zdanie wczeniejszego akapitu, bo mwi ono o tym, e
niewielka tabela w dokumencie, ktrym moe wcale si nie interesujesz, moe bezporednio wpyn na twoje poczynania. Konieczno dostpu do bazy danych o klientach moe na przykad wymaga zastosowania metod silnego uwierzytelniania takich,
jak tokeny czy karty mikroprocesorowe (tzw. smart cards), szyfrowania transmisji
w sieci VPN, czstej koniecznoci sporzdzania kopii bezpieczestwa czy nawet drogich macierzy RAID (ktre zapewni zachowanie integralnoci), ale nie usprawiedliwi nadmiarowych klastrw bazy, bo tak naprawd to nie dyspozycyjno jest tu najwaniejsza. Zwr uwag to wszystko, o czym bya mowa w tym podrozdziale,
naprawd jest wane!
Tworzenie polityki
Przeszede ju przez faz oceny, w trakcie ktrej udzielie odpowiedniego wsparcia
grupie konsultantw. Zesp dokonujcy oceny stworzy matryc krytycznoci, ktra
waciwie definiuje stosunek do istotnych zasobw firmy. Nastpnym zadaniem bdzie stworzenie polityki bezpieczestwa okrelajcej, w jaki sposb wybrane zasoby
powinny by ochraniane. Trzeba pamita, e dokument, w ktrym nakrelono zasady
polityki bezpieczestwa, ma spor wag. Podobnie jak dokumenty z fazy oceny
w duym stopniu wpywa on na poziom i standard zastosowanych pniej rodkw
bezpieczestwa.
Polityka bezpieczestwa okrela zasoby, ktre powinny by zabezpieczone nie
wskazuje na zastosowanie konkretnych metod. Polityka moe mwi o koniecznoci
zastosowania szyfrowania informacji krytycznych, ale nie dowiesz si z niej, czy do
szyfrowania masz wykorzysta algorytm TripleDES czy IDEA. Nie dowiesz si take, z ktrego oprogramowania masz skorzysta i nie uzyskasz informacji o sposobie
implementacji szyfrowania. Takich informacji nie uwzgldnia si w polityce bezpieczestwa, gdy w przypadku zmiany stosowanej w firmie technologii ca polityk
take naleaoby zmieni. Jeeli na przykad kto znajdzie w kodzie algorytmu TripleDES jakie wady, ktre sprawi, e stanie si on bezuyteczny, polityka bezpieczestwa, w ktrej mowa o tym algorytmie, stanie si natychmiast anachronizmem.
Patrzc na to z pewnej perspektywy, taka oglno polityki bezpieczestwa jest korzystna dla specjalistw z dziau IT, poniewa pozostawia szczegy dotyczce wdraania konkretnych rozwiza w rkach tych, ktrzy bd bezporednio odpowiedzialni
za dziaanie caego systemu zabezpiecze. Nieodpowiednie rozwizania nie bd narzucane z gry przez osoby, ktre nie maj adnego dowiadczenia w kwestiach technicznych i technologicznych, a zagadnienie bezpieczestwa znaj tylko teoretycznie.
Tworzenie polityki bezpieczestwa nie polega na wycinaniu i wklejaniu do nowego
dokumentu przygotowanych zawczasu piknie brzmicych instrukcji i zalece. Jeeli
twj dokument nie zawiera rozwiza odnoszcych si bezporednio do sytuacji w twojej
firmie, jest bezuyteczny, nie ma nic wsplnego z rzeczywistoci. Nikt nie bdzie
postpowa zgodnie z zawartymi w nim procedurami i, co gorsza, dokument ten nie
pozwoli na waciw ochron zasobw firmy. Ta ksika nie zrobi z ciebie guru polityki bezpieczestwa. Na rynku znajdziesz wiele pozycji ksikowych, propozycji
standardw i szkole, ktre maj taki cel. Jednak, podobnie jak w przypadku innych
innymi tematw, o ktrych mowa w tym rozdziale, dobrze by byo, gdyby wiedzia,
38
Bezpieczestwo w sieci
w jaki sposb powstaje polityka bezpieczestwa. Dziki tej wiedzy bdziesz potrafi odpowiednio wspomc proces jej powstawania, bdziesz mg wzi w nim czynny udzia
i bdziesz mia wpyw na kocowe rozwizania, ktre powinny zosta zastosowane.
Proces tworzenia polityki bezpieczestwa rozpoczyna si zaraz po zakoczeniu fazy
oceny. Stosuje si rne metody wykorzystywane podczas jej powstawania. Czasami
polityka jest tworzona na podstawie zakresu odpowiedzialnoci organizacyjnej lub
funkcjonalnej (obszarowej). Wydaje nam si, e jeeli patrzy si na zagadnienie polityki z punktu widzenia podziau organizacyjnego w firmie (na przykad: co ma robi
dzia IT, co HR, a co uytkownicy kocowi itd.), bardzo trudno jest zlokalizowa
przypadki zachodzenia na siebie lub przeciwnie braku odpowiedzialnoci za
pewne procesy. Z drugiej strony, gdy polityka jest rozpatrywana w oparciu o podzia
funkcjonalny dokonany w poprzednim podrozdziale (zarzdzanie ryzykiem, kontrola
nad kontami, sterowanie konfiguracj itd.), uzyskujemy pewno, e aden z aspektw nie pozostanie pominity. Odpowiedzialno za kady obszar moe by pniej
przydzielona wybranej grupie lub pojedynczym osobom.
Biorc pod uwag, e wikszo uytkownikw kocowych nie bdzie miao ochoty
na czytanie caej polityki bezpieczestwa, wiele organizacji tworzy co na ksztat wzorca dokumentu polityki, w ktrym znajduj si wyszczeglnione obszary odpowiedzialnoci. Na podstawie takich wzorcw tworzy si potem bardziej zwize wersje
dokumentu zawierajce polityk bezpieczestwa, specjalnie przystosowane i przeznaczone dla wybranych grup: kierownikw, uytkownikw kocowych, dziau IT. Z naszego dowiadczenia wynika, e takie rozwizania sprawdzaj si najlepiej. Model
polityki bezpieczestwa bdzie w duej mierze zalea od potrzeb organizacji.
Warto wspomnie, e w proces powstawania polityki bezpieczestwa warto zaangaowa wszystkie osoby, ktrych bogosawiestwa bdziesz wczeniej czy pniej
potrzebowa. Wane jest, aby np. dzia prawny by zaangaowany ju we wczesne
stadium procesu. Zdziwiby si, jak bardzo nieprzyjemny moe by dyrektor dziau
prawnego, kiedy pooysz mu na biurku dokument, ktry w twoim mniemaniu jest
kocow wersj polityki bezpieczestwa. Bardzo czsto zdarza si, i pewne kwestie
prawne (ktre przecitnemu pracownikowi nie przyjd do gowy) mog drastycznie
wpyn na tre i jej kocowy ksztat. Jaka std pynie nauka? Odpowiednie osoby
musz by zaangaowane w proces moliwie wczenie. Informuj ich o postpie procesu, uczy z nich swoich przyjaci i sojusznikw po to, aby ewentualne problemy
zostaway odpowiednio wczenie zauwaane i rozwizywane. Zrozumiesz, e jeeli
polityka bdzie waciwie przygotowana i realna, a nie na pokaz, jej przestrzeganie
i wprowadzanie stanie si atwiejsze.
39
si, e naley regularnie sporzdza kopie awaryjne wszystkich informacji krytycznych, ale to w dokumencie operacyjnym znajd si zalecenia co do stosowanych w tym
celu rodkw i metod administrowania nimi.
Dokument operacyjny moe na przykad wskazywa, e metod archiwizacji dobrze
odpowiadajc wymaganiom integralnoci ujtym w polityce bdzie sporzdzanie zapisw kopii zapasowych na tamach i przechowywanie ich w specjalnie utworzonej
bibliotece. W dokumencie operacyjnym mog take znale si informacje okrelajce, kiedy takie zapisy archiwizacyjne powinny by tworzone, gdzie i jak dugo tamy
powinny by przechowywane, kto moe mie do nich dostp i jak maj wyglda
procedury ich wykorzystywania. Nie trudno si domyli, i dokumenty operacyjne
powstaj jako bezporedni rezultat analiz przeprowadzonych w fazie oceny. Jest to
jeszcze jeden powd, ktry przemawia za uczestnictwem specjalistw IT i administratorw w poczynaniach zespou oceny: od tego zespou zaley twj los to on
waciwie decyduje o wyposaeniu ci w odpowiednie narzdzia i rodki, z ktrymi
bdziesz sobie pniej musia radzi. Dokumenty i procedury operacyjne powinny by
tak zaprojektowane, aby atwo byo dokona ich pniejszej ponownej oceny i aby
mg wykaza zgodno swoich poczyna z przyjtymi w firmie zasadami. W zalenoci od stanu architektury sieciowej i infrastruktury procedury mog by definiowane w fazie ochrony zasobw lub wczeniej, w fazie tworzenia oceny i polityki.
Ocena techniczna
Polityka i ocena czy ta faza nigdy si nie skoczy? W trakcie caego procesu moemy mie do czynienia z rnymi rodzajami ocen. Niektre z nich (takie jak ocena organizacyjna) s wyranie wiczeniami wyszego poziomu. Inne (jak te wyszczeglnione
40
Bezpieczestwo w sieci
Ocena architektury
W wielu przedsibiorstwach stosuje si rodki wydajce si odpowiednim zabezpieczeniem informacji, na ktrej nam zaley. Mog to by systemy zapr sieciowych,
wykrywania wama itp. Czasami jednak okazuje si, e istniejca architektura sieciowa sprawia, e staj si one nieefektywne. W dalszych rozdziaach tej ksiki zaprezentujemy kilka typowych modeli architektury sieciowej i wskaemy, w jaki sposb powinny by one stosowane. Na razie jednak chcielibymy zwrci uwag na
znaczenie moliwoci oceny efektywnoci nie tylko pojedynczych elementw kontroli bezpieczestwa, ale i oceny caoci architektury sieci.
Nasza firma zostaa zaangaowana do przeprowadzenia oceny stanu bezpieczestwa
wielkiej instytucji finansowej, ktra rozbudowywaa infrastruktur wspierajc rozwizania bankowoci internetowej. Niemal caa struktura sieci bya stworzona przez
sprzedawc sprztu komputerowego, ktry, jak tego si mona byo domyla, okreli wyranie mark ruterw, przecznikw, a take zapr sieciowych i urzdze sucych do wykrywania wama.
Chocia trudno byo jej cokolwiek zarzuci z punktu widzenia dostpnoci, jednak
struktura sieci powodowaa pewne problemy, ktre nie byy zwizane z komponentami
(tj. z urzdzeniami). Serwery sieciowe, do ktrych klienci mieli bezporedni dostp,
miay take bezporednie poczenie z wewntrznymi serwerami baz danych i komputerem centralnym (mainframe), gdzie przechowywane i przetwarzane byy wszystkie
dania przychodzce od uytkownikw kont. Mimo e pomidzy serwerami sieciowymi a serwerami wewntrznych baz danych sta firewall, uywane oprogramowanie
wymuszao otwarty dostp do baz danych. Efekt by taki, e pomimo fizycznej obecnoci w rzeczywistoci zapora sieciowa bya bezuyteczna. Lepszym rozwizaniem
byoby ustawienie w tym miejscu serwera poredniczcego (proxy), dziki ktremu
zapora sieciowa mogaby skutecznie ogranicza ruch pomidzy serwerami sieciowymi a bazami danych i niemoliwe byoby bezporednie poczenie (patrz rysunek 2.2).
W przypadku ewentualnego ataku na serwery sieciowe, napastnik nie mgby dosta
si dalej, tj. do serwerw z bazami danych zawierajcymi krytyczne informacje ani do
komputera centralnego lub do wewntrznej sieci korporacyjnej.
Z przytoczonego przykadu mona wycign dwa wnioski. Po pierwsze, nigdy nie
pozwalaj sprzedawcy sprztu na projektowanie struktury twojej sieci bez nadzoru i oceny ze strony niezalenych konsultantw. Po drugie, nigdy nie zakadaj, e architektura
jest bezpieczna, nawet gdy z punktu widzenia topologii sieci nic jej nie mona zarzuci.
Przed uznaniem struktury za bezpieczn oprogramowanie, dostpno danych i usug
naley podda testom.
41
Rysunek 2.2. Wymagania funkcjonalne mog ograniczy efektywno wewntrznej zapory sieciowej
Testy penetracyjne
Testy penetracji sieci rwnie dobrze mogyby zosta umieszczone w sekcji monitorowanie i wykrywanie wama, ale z uwagi na fakt, e zwykle s one wymagane przez
zespoy dokonujce audytu (a nie administratorw), zostay umieszczone w tej sekcji.
W duym skrcie testy te polegaj na przeprowadzeniu prb wamania do systemu.
Zesp specjalistw na rne sposoby sprawdza skuteczno dziaania mechanizmw
42
Bezpieczestwo w sieci
43
44
Bezpieczestwo w sieci
Poniej znajduje si przykad opisujcy przypadek, gdy skaner nie odnalaz luki, ktra zostaa wykorzystana przez nasz zesp.
Niektre saboci mog by wykorzystane tylko wtedy, gdy istnieje kilka dodatkowych czynnikw. Napastnik moe wykorzysta do naduycia bibliotek msadc.dll tylko wtedy, gdy
spenione s wszystkie ponisze warunki:
1. Serwer bdcy celem ataku pracuje pod kontrol systemu z rodziny Windows.
2. Biblioteka msadc.dll jest obecna i dostpna na serwerze bdcym celem.
3. Na serwerze uruchomiony jest IIS w wersji 4.0.
4. Na serwerze dokonanych zostao kilka specjalnych skojarze plikw.
5. Na serwerze s obecne pewne specjalne zasoby.
Automatyczny skaner stwierdzi istnienie luki, gdy speniony zostanie warunek 2. i biblioteka
msadc.dll znajduje si w standardowej (spodziewanej) lokalizacji. Wynikiem testu dokonanego przez skaner wykorzystywany przez Red Team mog by na przykad takie komunikaty:
A. Biblioteka msadc.dll odnaleziona, serwer jest podatny na atak.
B. Biblioteka msadc.dll nie znaleziona, serwer jest bezpieczny.
Okazuje si jednak, e wynik podany przez skaner nie jest do koca zgodny z prawd.
W przypadku A skaner wskazuje, e jeeli biblioteka msadc.dll jest obecna, to serwer jest
podatny na atak. W rzeczywistoci serwer nie byby naraony na atak napastnika wykorzystujcego msadc.dll, gdyby:
1. Na serwerze nie zosta zainstalowany system Windows. W przypadku innych systemw
operacyjnych obecno biblioteki nic napastnikowi nie daje.
2. Na serwerze uruchomiona jest wersja IIS 5.0 a nie 4.0. Serwer nie jest naraony
na wykorzystanie biblioteki.
3. Na serwerze nie ma odpowiednich zasobw programowych, ktre s wymagane
do wykorzystania biblioteki. Serwer nie jest podatny na atak.
4. Nie dokonano pewnych niezbdnych skojarze rozszerze plikw. Nie mona skorzysta
z omawianej saboci.
Jeeli wic biblioteka msadc.dll zostaa odnaleziona w swej typowej lokalizacji, a skaner
zakomunikuje istnienie niebezpieczestwa dla badanego serwera, niebezpieczestwo to moe okaza si tylko teoretyczne. W opisywanej przez nas rzeczywistej sytuacji skaner donis o nieodnalezieniu biblioteki (komunikat B) msadc.dll i uzna, e serwer nie jest podatny na zagroenie pynce z moliwoci jej wykorzystania.
Komunikat skanera nie rozwia jednak wtpliwoci czonkw Red Team. Zdawali sobie oni
spraw z tego, e biblioteka rwnie dobrze moe mie inn lokalizacj. Niektrzy administratorzy, postpujc zgodnie z zasad minimum uprawnie (informacji) = maksimum bezpieczestwa, ukrywaj pooenie bibliotek systemowych. Potrafi oni w ten sposb oszuka
mniej dowiadczonych hakerw. Jednak czonkowie Red Team (i bardziej zdeterminowani
hakerzy) nie nabieraj si na takie sztuczki. Udao im si odszuka msadc.dll, ale okazao
si, e na serwerze nie ma odpowiedniego oprogramowania, ktre umoliwiyby wykorzystanie tej saboci. To jednak nie koniec. Obecno newdsn.exe na serwerze bdcym celem ataku umoliwia im stworzenie niezbdnych do wykorzystania msadc.dll zasobw programowych. Ostatecznie, pomimo e skaner nie odnalaz w ogle biblioteki msadc.dll (ktra
pozwoliaby na dokonanie naduycia), zesp najemnych napastnikw odkry moliwo
wykorzystania luki w systemie.
45
46
Bezpieczestwo w sieci
serwery, na ktrych zainstalowane s rne systemy operacyjne i rne
aplikacje komercyjne,
urzdzenia sieciowe,
nietypowe aplikacje wykonywane na specjalne zlecenie,
inne wyposaenie takie, jak centralki PBX i systemy sterowane gosem.
Przypomnijmy jeszcze raz, i tymi zagadnieniami zajmiemy si szczegowo w kolejnych rozdziaach. Argumentacja, ktrej uywa si, mwic o potrzebie przeprowadzania testw kontrolowanego audytu, jest prosta i przekonujca. Po pierwsze, cakiem prawdopodobna jest sytuacja, w ktrej, mimo e np. na platformie uniksowej
uruchamia si usug zdalnego logowania (telnet) bez potrzeby podawania hase, usuga
ta jest blokowana przez firewall i nie zostanie odkryta podczas testw penetracyjnych.
Jutro jednak administrator moe zmieni konfiguracj zapory sieciowej i umoliwi poczenia telnetowe, bo jest to na przykad konieczne z punktu widzenia interesu firmy (zamy, e partner biznesowy musi uzyska moliwo dostpu do AS/400). W ten
sposb administrator nieumylnie powoduje powstanie luki w systemie bezpieczestwa. W wyniku przeprowadzenia kontrolowanego audytu wykrywane s wszystkie tego
rodzaju saboci systemu, gdy audytor ma peny dostp i moe skontrolowa konfiguracj systemu, wcznie z rodzajem dostpnych usug, poziomw atek programowych, uprawnie uytkownikw itp.
Kolejnym powodem, dla ktrego warto przeprowadza tego rodzaju kierowane testy,
jest fakt, e audytorzy mog pomc ci okreli najbardziej optymaln konfiguracj
systemu (a take wspomog ci listami kontrolnymi audytu). Dziki nim bdziesz
w posiadaniu dokadnych informacji dotyczcych takich szczegw konfiguracji, jak:
rodzaj moliwych do uruchomienia usug, uprawnienia do plikw, ustawienia kont
uytkownikw itd. Jeeli sprawujesz opiek nad zespoem serwerw sieciowych i czsto zdarza si, e wczasz do struktury nowe systemy wystarczy, e skonfigurujesz nowy system zgodnie z zaleceniami, sprawdzisz go wedug elementw listy kontrolnej i moesz by pewien, e system spenia wymagania bezpieczestwa. Podobnie
jak w przypadku zespow Red Team dobrze jest sprawdzi moliwoci, umiejtnoci
i referencje osb dokonujcych audytw kierowanych.
Kolejnym rodzajem kierowanego audytu jest testowanie kodu rdowego nietypowego
(wykonywanego na zamwienie) oprogramowania. Autorzy tej ksiki maj sporo
dowiadcze zebranych podczas prac dla amerykaskiego Ministerstwa Obrony Narodowej i mog zapewni, e kada linia kodu aplikacji, ktre tworzylimy, bya
skrupulatnie sprawdzana przez specjalistw dobrze znajcych swoj prac i zagadnienia bezpieczestwa oprogramowania. Szukali oni np. moliwoci potencjalnego przepenienia bufora, zastanawiali si, jakie byyby konsekwencje pojawienia si usterek
lub awarii aplikacji albo programw rezydentnych. Ci ludzie potrafi obejrze kad
linijk kodu, zwracajc uwag na wszystkie miejsca potencjalnych problemw z bezpieczestwem.
W dzisiejszych czasach realia rynku zwykle nie pozwalaj na tak dokadno i skrupulatno, ale przegldanie kodu rdowego powinno by wanym elementem w procesie tworzenia i rozwoju oprogramowania. Dobr metod usprawniajc test kodu
47
rdowego jest wybranie tych fragmentw kodu, ktrych dziaanie ma jaki zwizek
ze stron zewntrzn (klientem) lub wewntrzn (komponentami wewntrznymi systemu). W przypadku aplikacji stworzonej do obsugi bankowoci elektronicznej naley
dobrze sprawdzi wszystkie komponenty sieci, w ktrych zachodzi interakcja z uytkownikiem kocowym, kierowane s zapytania do bazy danych i nastpuje dostp do
informacji na kontach, a nie na przykad cz kodu odpowiedzialn za sporzdzanie
raportw, gdy nie daje ona praktycznie adnych moliwoci naduy. Testy kodu
rdowego przynosz pewn korzy twrcom oprogramowania, bo maj oni okazj
usysze ocen swojej pracy z punktu widzenia bezpieczestwa aplikacji, a nie, jak to
zwykle bywa, jej funkcjonalnoci. Wikszo programistw zwykle chtnie poddaje si
krytyce, mog si dziki niej jeszcze wiele nauczy, a testy kodu prowadz czasami
do powstania standardw wspomagajcych tworzenie bezpieczniejszych aplikacji.
Ochrona zasobw
Podsumujmy: podstawowe zasady polityki bezpieczestwa w firmie zostay zdefiniowane, odpowiednie testy struktury systemu zostay przeprowadzone i znasz ju sabe
strony swojej sieci lub jeste gotw do rozmieszczenia urzdze, co pozwoli ci wreszcie
rozpocz faz wdraania teorii w ycie. Jeeli twj poziom wiedzy technicznej uwaasz za wystarczajcy do zrozumienia wikszoci zawartych w tej ksice informacji,
jest dua szansa, e wiesz, jakie s funkcje zapory sieciowej, jak dziaa ruter i jaka jest
rnica pomidzy przecznikiem a koncentratorem. W dalszej czci ksiki zajmiemy si bardziej szczegowo zagadnieniami bezpieczestwa zwizanymi ze wspomnianymi urzdzeniami. W tym rozdziale jednak (jak to wci przypominamy) ograniczymy
si do rozwaa na nieco bardziej poziomie teoretycznych i z popatrzmy z pewnej perspektywy na lokalizacj i funkcjonowanie komponentw sieci. Jeszcze raz chcielibymy powtrzy, e celem tego rozdziau nie jest przemiana czytelnika w guru polityki
bezpieczestwa czy eksperta od ruterw, ale sprowokowanie do spogldania nieco
z gry na cao zagadnienia bezpieczestwa, ktre umoliwi lepsze zrozumienie wysikw wszystkich dziaw i pionw organizacyjnych i wasnej roli w tym procesie.
48
Bezpieczestwo w sieci
Jeeli na przykad dostpno witryny firmowej jest jednym z pryncypiw (bya oceniana wysoko w matrycy krytycznoci), atwo bdzie wytumaczy konieczno tworzenia infrastruktury o moliwie wysokiej dyspozycyjnoci a wic speni si twoje
marzenia o wielu jednoczesnych czach do Internetu, zoonej sieci kratowej ruterw
(wzajemnie si uzupeniajcych), zapr sieciowych, urzdze do wyrwnywania obcienia serwerw i samych serwerw. Gdyby aspekt dostpnoci witryny oceniono
nisko a strona firmowa miaa charakter statyczny i niemal wycznie informacyjny,
trudno byoby ci uzasadni wydatki poniesione na wiksz ilo sprztu sieciowego.
Nauka dla pracownikw dziau IT jest nastpujca: wybieraj projekty najlepiej dostosowane do zdefiniowanej polityki. A jeli wydaje ci si, e polityka jest za, to niewystarczajco zaangaowae si w proces jej tworzenia albo powinna zosta zmieniona,
aby rodki bezpieczestwa uznane przez ciebie za niezbdne zostay zastosowane
w przedsibiorstwie, ktre jest twoim pracodawc. O wiele atwiej jest wpywa na
polityk, kiedy jeszcze jest ona w fazie powstawania, ni wtedy, gdy dokument zosta
zaaprobowany przez dziesiciu wiceprezesw, prawnikw itd. Rada jest prosta nie
stj z boku, udzielaj si w procesie powstawania polityki tak wczenie i tak czsto,
jak to tylko uznasz za konieczne.
rodki ochronne
Kady element zaprezentowanego tu modelu bezpieczestwa moe by rozumiany
jak kolejna warstwa chronica zasoby informacyjne przedsibiorstwa. Definiowanie
zaoe polityki bezpieczestwa oraz faza oceny i testw prowadz do podejmowania
decyzji okrelajcych zasoby, ktre powinny zosta chronione midzy innymi za pomoc wybranych rodkw. Z uwagi na fakt, e ksika ta zostaa powicona technicznej stronie zapewnienia bezpieczestwa, nie bdziemy tu zajmowa si bezpieczestwem fizycznym czy zagadnieniem wiadomoci wagi bezpieczestwa wrd
pracownikw skupimy si wycznie na komponentach bezpieczestwa zwizanych z sieci. Najwaniejsza porada, jakiej moemy udzieli czytelnikowi zaraz na
pocztku, jest nastpujca: rodki bezpieczestwa powinny by wdraane w caoci
jako jeden wsppracujcy system, a nie po kawaku, fragmentarycznie. Nie znaczy
to, e na ten system musz skada si koniecznie urzdzenia pochodzce od jednego
producenta. Jeeli rutery i przeczniki to sprzt Cisco, nie musisz od razu kupowa
zapory sieciowej Cisco. Chodzi o to, e kady pojedynczy element powinien wykonywa zadania, ktre dopeniaj oraz uzupeniaj funkcje i role pozostaych komponentw sieci. Taki system powinien waciwie zabezpiecza zasoby, ktre zostay uznane za warte ochrony na podstawie matrycy krytycznoci w polityce bezpieczestwa
obowizujcej w przedsibiorstwie.
Dobrym przykadem wzajemnie uzupeniajcych si elementw jest para: system wykrywania wama (IDS) plus zapora sieciowa. Sam firewall nie zabezpieczy sieci
przed wszystkimi atakami. Zadaniem systemu wykrywania wama jest raportowanie
o wszystkich uytkownikach, ktrym udao si przedosta przez zapor sieciow. Nie
bdziesz chcia wyrzuci zapory sieciowej tylko dlatego, e uruchomie IDS i odwrotnie, nie moesz nie docenia moliwoci systemu wykrywania wama tylko
dlatego, e cakowicie ufasz moliwociom swojej zapory. Idea stojca za tymi przykadami wydaje si oczywista, ale mwic obrazowo, wielu specjalistw, montujc
49
stalowe drzwi na pudekach kartonowych, nazywa je bezpiecznymi. Gdy kupisz nawet najdrosz, najszybsz i najlepsz zapor sieciow i umiecisz j przed serwerem
z IIS w wersji 4.0 pracujcym pod kontrol niezabezpieczonego systemu operacyjnego Windows NT, moesz by pewien, e wamanie na ten serwer nastpi tak szybko,
jak szybko pierwszy lepszy skryptowiec sprbuje wykorzysta dobrze znane luki
i saboci systemu. Jeeli wszystkie komponenty nie bd z sob odpowiednio wsppracowa, to uznajc, e sie jest bezpieczna, oszukujesz samego siebie.
rodki bezpieczestwa to nie to samo co bezpieczny system
Oto prawdziwa historia. Pewne przedsibiorstwo, ktrego roczny przychd wynosi blisko p
miliarda dolarw, wynajo zewntrznych konsultantw majcych zabezpieczy infrastruktur
sieciow za pomoc zapory sieciowej (nie powiemy jakiego producenta). W okresie nastpujcym po incydencie ldowania w Chinach amerykaskiego samolotu z aparatur szpiegowsk nalecy do nich serwer sieciowy zosta skutecznie zaatakowany. Przedsibiorstwo
wynajo nasz firm do oceny stanu zabezpiecze i przyczyn udanego wamania.
W wyniku przeprowadzonych analiz okazao si, e na serwerze zainstalowana bya cakowicie niezabezpieczona wersja (4.0) programu Microsoft Internet Information Server, a firewall
nie zrobi nic, aby uniemoliwi czy przerwa atak. Dalsze badania wykazay, e by on tak
skonfigurowany, e nie zachoway si adne dzienniki zdarze systemowych (zreszt podobnie byo z oprogramowaniem serwera). Nie byo wic adnego ladu, za ktrym mona
by byo pody w poszukiwaniu sprawcy naduycia. Zabezpieczylimy serwer, wznowilimy
dziaanie witryny internetowej i przeprowadzilimy pobieny audyt konfiguracji zapory sieciowej. W trakcie jego trwania okazao si, e baza danych przedsibiorstwa zawierajca
najbardziej krytyczne informacje jest przechowywana na komputerze mainframe, a firewall
pozwala na wolny do niego dostp niemal z kadego miejsca w sieci!
Przedstawiciele firmy stwierdzili, e komputer mainframe ma tak doskonae zabezpieczenie, e nie mona si do niego wama, wic nie szkodzi, e firewall umoliwia do niego
dostp. Oczywicie nikt w przedsibiorstwie nie wiedzia, jakiego rodzaju zabezpieczenia
zostay zastosowane i w jaki sposb skonfigurowane, a take dlaczego waciwie uwaa si
te zabezpieczenia za nie do przejcia. Wane byo to, e zostay zainstalowane przez eksperta i to wszystkim wystarczao.
Sytuacja pogarszaa si z kadym krokiem. Im dokadniej przygldalimy si strukturze sieci, tym bardziej okazywaa si dziurawa. Wystarczy powiedzie, e zamiast zapory sieciowej
rwnie dobrze mona byo wstawi bezporednie przycze do Internetu. Wyszoby na to
samo. Przypadek opisywany by klasycznym przykadem pokadania zbyt wielkiego zaufania
w pojedynczy komponent sieci bez zastanawiania si, jak wspgra on z innymi elementami
infrastruktury i profilem bezpieczestwa caej organizacji. Dlaczego przedsibiorstwo byo
tak le przygotowane? Midzy innymi dlatego, e w organizacji nie obowizywaa adna polityka bezpieczestwa.
50
Bezpieczestwo w sieci
serwerami baz danych, a zawarto witryny jest aktualizowana dziki wewntrznym czom z sieci korporacyjn. Orodek posiada swj wasny serwer pocztowy i serwer
DNS, a take moliwo tworzenia wirtualnych sieci prywatnych, umoliwiajc zdalny
dostp dla pojedynczych uytkownikw znajdujcych si poza gwn siedzib firmy.
Rysunek 2.3. Architektura zapewniajca pewien (do wysoki) poziom bezpieczestwa zasobw
51
DMZ1. Ma on nie dopuci do wewntrznej sieci korporacyjnej ruchu, ktry nie jest
zwizany z usugami poczty i DNS. Twrca architektury proponowa umieszczenie
gwnego serwera poczty w sieci korporacyjnej, ale, aby zminimalizowa ryzyko potencjalnych naduy, zdecydowa o zainstalowaniu w sektorze DMZ przekanika
pocztowego, ktry uniemoliwiaby bezporednie poczenia pomidzy wewntrznym
serwerem pocztowym a Internetem. Ponadto serwery baz danych odgrodzone s od
serwerw sieciowych za pomoc osobnej zapory sieciowej. Pozwala to na korzystanie
z zasobw umieszczonych na serwerach baz danych bez zbytniego naraania ich na
ewentualne naduycia, w przypadku gdyby jeden z serwerw sieciowych pad ofiar
ataku. Zapora sieciowa pomidzy tymi serwerami pozwala take administratorom lub
programistom w sieci korporacyjnej zarzdza i uaktualnia dane na obu grupach
serwerw bez tworzenia moliwoci ataku bezporedniego na wewntrzn sie przedsibiorstwa. We wszystkich newralgicznych miejscach orodka zainstalowane zostay
systemy wykrywania wama, ktre monitoruj ruch pomidzy segmentami i ograniczaj do minimum moliwo niezauwaonego ataku.
Oczywicie zaprezentowana architektura to tylko jedno z moliwych rozwiza, ale
warto zauway, e w tym przypadku kady komponent ma swoj wasn funkcj
w procesie zabezpieczenia orodka. Niektre wymagania funkcjonalne (na przykad
konieczno zapewnienia wysokiej przepustowoci i dostpu do grupy serwerw sieciowych) powoduj, e kwestie bezpieczestwa (umieszczenie przed serwerami dodatkowej zapory sieciowej) schodz na dalszy plan. Niektre komponenty skadowe
orodka bd miay wicej pracy (np. monitorowanie przez IDS wzgldnie sabo zabezpieczonych serwerw sieciowych), ale wszystkie one (wcznie z listami ACL na
ruterze i urzdzeniu rozkadajcym obcienie) umieszczone zostay w odpowiednich
miejscach sieci. Ta architektura powinna speni wszystkie zaoenia sprecyzowane
w dokumencie zawierajcym zasady polityki bezpieczestwa obowizujce w przedsibiorstwie. Jest to te odpowiedni przykad dobrej wsppracy wszystkich komponentw, ktra przekada si na wysoki poziom zabezpieczenia oglnego.
Monitorowanie i wykrywanie
Na tym etapie mamy ju gotowy program IA, ustalono te zakres odpowiedzialnoci
wybranych dziaw organizacji. Zesp, ktrego zadaniem byo nadzorowanie pracy
nad caoci programu IT, dokona wypunktowania i kategoryzacji krytycznych zasobw przedsibiorstwa. W oparciu o nie powstaa polityka bezpieczestwa, ktra zostaa zaakceptowana przez kierownictwo wyszego szczebla. Poszczeglne komponenty
skadajce si na oglny program bezpieczestwa zostay rozmieszczone i uruchomione od komponentw fizycznych (zapr sieciowych), przez oprogramowanie
(systemy operacyjne), po programy uwiadamiania wagi procedur bezpieczestwa.
1
DMZ jest skrtem od DeMilitarized Zone co moe by tumaczone jako obszar wpyww sieci
niekomercyjnych. Jest to potoczna nazwa czci sieci, co do ktrej nie ma si penego zaufania. DMZ
stwarza miejsce w sieci, w ktrym izoluje si systemy dostpne dla uytkownikw Internetu od tych,
do ktrych dostp maj tylko pracownicy. Z DMZ mona korzysta rwnie w przypadku partnerw
handlowych czy innych jednostek zewntrznych przyp. tum.
52
Bezpieczestwo w sieci
53
przechowywa, i niezbdn wydajnoci pracy systemu. Zbieranie informacji o uytkownikach zabiera cykle pracy procesora (czy jednostki centralnej w systemach wieloprocesorowych) i wpywa na czas dostpu do dysku. Z tego te powodu aplikacje
bazujce na serwerach zwykle zbieraj minimaln ilo tego typu informacji. Inny
sprzt sieciowy taki jak rutery i przeczniki wymagaj specjalnego urzdzenia zbierajcego dane pochodzce z ich dziennikw (np. serwer syslog), gdzie wysyane s
dane o uytkownikach logujcych si do sieci.
Poniewa obecno takiego serwera nie jest niezbdna do pracy pozostaych urzdze
sieciowych, wiele firm nigdy ich nie instaluje. Dla tych, ktrzy si zdecydowali na
umieszczenie go w sieci, poczone informacje dotyczce logowania mog by zbyt
obszerne i troch tajemnicze. Zapora sieciowa, ktr skonfigurowano tak, by zapisywaa za duo informacji dotyczcych zalogowanych uytkownikw, moe straci na
wydajnoci do tego stopnia, e nie poradzi sobie z ruchem o rednim nateniu. Wymagania dotyczce koniecznoci zapisu informacji o uytkownikach zale od ustale, ktre znalazy si w zdefiniowanej polityce bezpieczestwa ustalonej w danej
firmie. Jeeli w polityce znajd si stwierdzenia mwice o koniecznoci zapisu informacji o wszystkich zewntrznych i wewntrznych poczeniach i przechowywaniu
tych danych przez 6 miesicy, to takich zaoe bdziesz musia si trzyma i stara
si je wypeni. Takie zaoenia bd oczywicie niosy ze sob specjalne wymagania
co do wyboru sprztu i jego oprogramowania podczas fazy planowania struktury sieci
i mog by usprawiedliwieniem dla zakupu jakiego niezwykle wydajnego analizatora skadniowego, ktry zajmowa si bdzie tylko dziennikami zdarze systemowych.
Jeeli bd tego wymagay zaoenia polityki, by moe trzeba bdzie dokona specjalnych analiz moliwoci i wydajnoci systemw raportowania.
Za podstawow zasad uznaje si konieczno tworzenia raportw dotyczcych zdarze takich, jak odmowa poczenia, nieudane logowania i prby nieautoryzowanego
dostpu do plikw. Udan penetracj sieci zawsze poprzedza kilka nieudanych prb
i to one mog wskaza napastnika.
54
Bezpieczestwo w sieci
IDS mona porwna do antywamaniowego systemu alarmowego ochraniajcego siedzib firmy. Podobnie jak jego odpowiednik w rzeczywistym wiecie (ktry wykorzystuje kamery, czujniki ruchu, podczerwieni, ciepa, cinienia itp.) IDS stosuje rne metody, szukajc nietypowych lub podejrzanych zachowa uytkownikw sieci
(np. prby wykorzystania znanej wady lub luki systemu czy podszywania si pod adres IP wewntrznej sieci majce na celu oszukanie zapory sieciowej). IDS, podobnie
jak alarm antywamaniowy, ostrzega ci o fakcie dokonywanego ataku w czasie rzeczywistym, tzn. w momencie, w ktrym napad ma miejsce.
System wykrywania wama monitoruje ruch w sieci (dziki czujnikom sieciowym,
jest to tzw. network-based IDS IDS sieciowy) lub uruchamia programy na kadym
z serwerw, ktre wyszukuj przypadki atakw wymierzonych przeciwko pojedynczym serwerom (tzw. host-based IDS IDS systemowy). Kada z metod ma swoje
dobre strony, ale jest co, co czy je wszystkie: IDS dziaa poprawnie tylko wtedy,
gdy kto monitoruje to, co si dzieje na ekranie komputera. Pamitaj hakerzy nie
atakuj tylko w godzinach pracy. Tutaj poruszamy zagadnienie, ktre jest charakterystyczne dla wielu niepoprawnych implementacji systemw IDS: pracownicy obsugujcy systemy kontroli wama czsto pracuj w niepenych godzinach i nie zawsze
s obecni, gdy nastpuje atak (faszywy bd rzeczywisty). Pamitaj, e kiedy IDS
wykryje zagroenie, nie powie ci, co naley robi jego zadaniem jest tylko raportowanie o dziaaniach potencjalnych intruzw. I jeeli nie planujesz zatrudnienia grupy specjalistw bezpieczestwa, ktrzy bd pracowa przez cay czas (trzeba osiem
osb pracujcych na penym etacie, aby zabezpieczy tydzie dziaania systemu IDS),
nie bdziesz mg dobrze wykorzysta zainstalowany system. Jest to argument, ktry
przemawia za skorzystaniem z outsourcingu, tzn. staego podwykonawstwa usugi
monitorowania systemw IDS. Jeeli nie dysponujesz sporym zespoem dowiadczonych pracownikw, ktrych zadaniem ju teraz jest kontrola bezpieczestwa sieci,
tworzenie specjalnej grupy jest po prostu nieopacalne i nieefektywne. Kwestiami zalet i wad systemw wykrywania wama zajmiemy si dokadniej w rozdziale 10.
Tymczasem wane jest, aby wiedzia, e IDS jest przydatnym i niezbdnym narzdziem, w przypadku gdy chcemy stworzy solidny system bezpieczestwa.
Fuzja danych
Si metody polegajcej na przegldaniu dziennikw zdarze jest to, e moesz podda dokadnej analizie dane o ruchu w sieci przesyane przez wszystkie urzdzenia.
Zalet systemw IDS jest to, e nie wymagaj one monitorowania kadego urzdzenia z osobna, a informacje o prawdopodobnym ataku otrzymujesz w czasie rzeczywistym. Jednak najlepsz metod jest synteza dwch omawianych wczeniej rozwiza.
Z braku lepszego okrelenia nazwijmy j fuzj danych.
Okrelenie moe tumaczy fakt, e w przypadku tej metody wykorzystuje si sygnay
pynce z systemw IDS, ktre czy si z informacjami pochodzcymi z innych
urzdze w sieci, i wszystko to daje razem peniejszy obraz sytuacji. Pozwala to na
bardziej kompleksowe podejcie do zagadnienia bezpieczestwa, bo teraz analizowany
jest cay acuch zdarze, ktre osobno mog nie wydawa si istotne. Przypumy,
e w dzienniku rutera zosta zauwaony fakt dokonania skanowania portw, potem
z miejsca, z ktrego nastpio skanowanie, dokonane zostao poczenie niezerwane
55
56
Bezpieczestwo w sieci
Przytoczony przypadek jest typowym przykadem braku przygotowania. Jeli martwisz si potencjalnymi zagroeniami, wirusami i strat poczenia z sieci, jednym
z imperatyww powinno by stworzenie procedur reakcji i odzyskiwania danych przed
zajciem a nie w trakcie jego trwania bd dopiero po fakcie. Plany okrelajce sposb reagowania niekoniecznie musz dotyczy wycznie kwestii technicznych. Czci tego planu moe by na przykad powiadomienie prezesa przedsibiorstwa i dziau
PR po to, aby byli odpowiednio przygotowani na kontakt z pras. Konieczne jest, aby
procedura reagowania i odzyskiwania danych bya poddawana regularnym testom.
W trakcie faszywego alarmu moe si na przykad okaza, e pomimo tego, i procedura zakada powiadomienie prezesa przedsibiorstwa o aktach naduycia zwizanych z witryn internetow przedsibiorstwa, w dokumencie nie ma ani numeru domowego prezesa, ani numeru telefonu komrkowego, ani nawet numeru pagera.
Reagowanie i odzyskiwanie danych to waciwie ostatnia faza i, miejmy nadziej, najrzadziej wykorzystywany komponent procesu zapewnienia bezpieczestwa. W przypadku zaistnienia naduycia ostatni czci fazy odzyskiwania danych powinna by
ponowna ocena mechanizmw bezpieczestwa, ktra moe naprowadzi nas na nowe
rozwizanie umoliwiajce takie ulepszenie systemu bezpieczestwa, e incydent
w przyszoci ju si nie powtrzy.
Przygotowanie na incydent
Podczas przeprowadzania testw architektury sieci pewnej duej firmy dziaajcej w Internecie naszym celem byo przeprowadzenie ataku DoS. Intensywno ataku miaa stopniowo rosn, co w zaoeniu pozwalaoby oceni stabilno i odporno sieci klienta. Z uwagi
na fakt, e trudno jest przeprowadzi rozproszony atak DoS, jeli nie posiada si tysicy
przejtych komputerw, do naszych celw mia przysuy si jeden laptop, ktrego zadaniem miao by wysyanie 100 Mb segmentw danych bezporednio do rutera. Przy pomocy
specjalnie stworzonego oprogramowania moglimy stopniowo zwiksza si ataku DoS i wielko przesyanych pakietw, podczas gdy zadaniem administratorw bya ocena moliwoci
wykrycia ataku i jak najlepsza reakcja na incydent. W wyniku pniejszych przemyle
zmienilimy listy kontroli dostpu rutera, wczylimy kilka jego funkcji bezpieczestwa,
przekonfigurowalimy urzdzenie suce do rozkadania obcienia sieci i, oglnie mwic,
wyprbowalimy dziaanie procedur reagowania na incydent obowizujcych w firmie. Okazao si, e zesp pracownikw duo nauczy si o atakach typu DoS, pozna metody reagowania, a cay plan reakcji na incydent obowizujcy w przedsibiorstwie zosta odpowiednio uaktualniony i ulepszony.
Przy okazji okazao si, e jeden jedyny laptop moe unieruchomi ca infrastruktur sieci.
Jak to moliwe? Podczas testw nasi specjalici odkryli pewn luk w systemie operacyjnym zarzdzajcym ruterem. Wezwano zesp roboczy producenta, ktry ostatecznie stworzy specjaln atk programow usuwajc bd systemowy. Jaka std pynie lekcja? Nie
wszystkim atakom mona zapobiec.
Podsumowanie
Jak niejednokrotnie podkrelalimy, zaoeniem tego rozdziau byo przedstawienie
czytelnikowi szerszego obrazu zagadnienia bezpieczestwa, ktry znacznie wykracza
poza ten widziany z perspektywy serwerw i zapr sieciowych. Prbowalimy pokaza
57