Jakie są podstawy bezpieczeństwa sieci?

Podstawy bezpieczeństwa sieci to krytyczne elementy sieci lub systemu cyberbezpieczeństwa. Powinny być wdrożone we wszystkich sieciach, zarówno domowych, firmowych, jak i w Internecie. Aby ochrona była skuteczna, musi obejmować zarówno sieci przewodowe, jak i bezprzewodowe oraz powinna się składać z zapór ogniowych, programów antywirusowych, systemów wykrywania włamań, mechanizmów kontroli dostępu itd.

Podstawy bezpieczeństwa sieci

Bezpieczeństwo sieci to skomplikowany temat obejmujący wiele technologii, których konfiguracja czasami też jest bardzo złożona.

Kwestią bezpieczeństwa jest oddzielenie tego, co znajduje się w sieci od punktów końcowych lub systemów hostów, które są z nią połączone. Technologia ochrony zarówno sieci, jak i punktów końcowych obejmuje kontrolę dostępu i szyfrowanie, ale w przypadku sieci dochodzą jeszcze sprawy segmentacji i bezpieczeństwa ona obwodzie.

Bezpieczeństwo sieci a bezpieczeństwo punktów końcowych

Bezpieczeństwo sieci to tylko część układanki, która głównie dotyczy urządzeń chroniących samą sieć. Zapora sieciowa może być samodzielnym urządzeniem działającym obok sprzętu sieciowego, takiego ja routery, przełączniki, lub programem zainstalowanym na tym samym fizycznym urządzeniu, które pełni funkcję routera i przełącznika. W sieciach działają zapory, systemy wykrywania włamań (IDS), systemy zapobiegania włamaniom (IPS), urządzenia do obsługi wirtualnych sieci prywatnych (VPN), systemy zapobiegania wyciekom danych itd.

Funkcją sieci jest łączenie ze sobą systemów. To dzięki niej możemy przeglądać strony w sklepie Amazon lub robić zakupy przez Internet w pobliskim warzywniaku. Systemy końcowe też wymagają ochrony i nazywa się to bezpieczeństwem punktów końcowych. Do urządzeń z tej kategorii zaliczają się laptopy, tablety, telefony, jak również urządzenia należące do Internetu rzeczy (IoT).

Mogą to być termostaty, kamery, lodówki, blokady drzwi, żarówki, pompy basenowe, inteligentne kołdry itd. Te urządzenia także wymagają ochrony, ale nie wszystkie są na tyle zaawansowane technologicznie, aby mogły zawierać zaporę albo program antywirusowy. Jeśli punktem końcowym jest żarówka, to jej bezpieczeństwo najpewniej zależy od zabezpieczeń sieci.

Kontrola dostępu

Kontrola dostępu to podstawa. W firmach zazwyczaj jest określana mianem systemu zarządzania tożsamością i dostępem (IAM). Kontrolowanie dostępu to nic nowego. Ludzie robią to w budynkach od czasu zamontowania pierwszego zamka w drzwiach ponad sześć tysięcy lat temu. Dziś kontroluje się dostęp do sieci, komputerów, telefonów, aplikacji, stron WWW i plików.

Technikę kontroli dostępu zasadniczo dzieli się na cztery elementy określane akronimem IAAA:

  • Identyfikacja (identification) to ujawnienie nazwy lub innego identyfikatora użytkownika, np. jego adresu e-mail.
  • Uwierzytelnianie (authentication) dostarcza dowodu, że użytkownik jest tym, za kogo się podaje. Do uwierzytelniania najczęściej używa się haseł.
  • Autoryzacja (authorization) polega na udzieleniu lub odmówieniu użytkownikowi uprawnień. W przypadku odmowy nie ma on żadnych uprawnień, a w przypadku uzyskania autoryzacji, dostaje prawo do odczytu, zapisu, pełnej kontroli itd.
  • Księgowanie (accountability) to rejestrowanie informacji na temat wydarzeń. W dzienniku zostaje zapisany ślad tego, że dany użytkownik próbował uzyskać lub uzyskał dostęp. Ponadto dziennik może zawierać informacje na temat wszystkich wykonanych przez niego czynności.
     

Rodzaje uwierzytelniania

Spośród wszystkich elementów IAAA uwierzytelnianie może być dziś najważniejsze. W większości systemów wciąż najpopularniejszym rozwiązaniem są hasła. Niestety nie zapewniają one zbyt wysokiego poziomu bezpieczeństwa, ponieważ można je łatwo złamać.

Odkrycie krótkiego hasła nie sprawi hakerowi wielkiego trudu. Jedną z metod łamania haseł jest tzw. technika „brute force”, polegająca na wypróbowywaniu po kolei wszystkich możliwych kombinacji. Innym sposobem jest łamanie haseł za pomocą programu odtwarzającego wszystkie hasła, dla których algorytm wyznaczania wartości skrótu zwraca taką samą wartość.

Obecnie stosuje się trzy rodzaje lub czynniki uwierzytelniania: Oto one:

  • Wiedza użytkownika – ciąg znaków lub cyfr albo kombinacja obu przechowywana w pamięci użytkownika. W tych czasach takie hasła powinno się przechowywać w menedżerach haseł.
  • Rzecz posiadana przez użytkownika – urządzenie lub program na urządzeniu, które są potrzebne do uwierzytelnienia. Może to być urządzenie zwane tokenem RSA albo programowy token Google Authenticator na smartfonie.
  • Sam użytkownik – jakaś cecha osoby. Może być fizjologiczna, np. odcisk palca, lub behawioralna, np. głos.

 

Najlepszym wyborem jest uwierzytelnianie dwuskładnikowe (2FA), czasami nazywane też uwierzytelnianiem wieloskładnikowym (MFA). Zalecamy jego stosowanie w celu kontroli dostępu do kont osobistych, np. w portalu Amazon lub Facebook.

Takie aplikacje, jak Google Authenticator są bezpłatne i stanowią o wiele lepszą opcję niż wiadomości SMS przesyłane na telefon. National Institute of Standards and Technology (NIST) odradza używanie wiadomości SMS.

Uwierzytelnianie 2FA zalecamy także do biur, ale w firmach tego typu decyzje są podejmowane na poziomie definiowania zasad bezpieczeństwa lub przez zarząd. Pod uwagę brane są takie czynniki, jak rodzaj zasobów, klasyfikacja danych, poziom ryzyka oraz luki w zabezpieczeniach.

Segmentacja sieci

Segmentacja sieci zwiększa poziom bezpieczeństwa przez kontrolę przepływu danych między różnymi sieciami. Najczęściej do jej realizacji wykorzystuje się wirtualne sieci lokalne (virtual local area networks – VLAN). Istnieje wiele wariantów tego schematu, takich jak wirtualne prywatne sieci LAN (PVLAN), wirtualne rozszerzalne sieci LAN (VXLAN) itd. Sieć VLAN zajmuje warstwę połączenia z danymi, czyli drugą w modelu OSI (open system interconnect). Większość administratorów sieci mapuje protokół podsieci IP do VLAN.

Routery umożliwiają przepływ ruchu między sieciami VLAN zgodnie z konfiguracją. Jeśli komuś zależy na kontroli, to podstawę stanowi konfiguracja routera.  

Inną opcją, dostępną w środowisku chmurowym, jest tzw. wirtualna chmura prywatna (virtual private cloud – VPC). W jej przypadku kontrola ruchu wchodzącego i wychodzącego także odbywa się przez konfiguracje.

Aby prawidłowo skonfigurować sieci VLAN i VPC oraz kontrolować ich ruch, należy dokładnie poznać wymogi firmy w zakresie obciążenia procesów roboczych.

Bezpieczeństwo obwodowe

Zabezpieczanie obrzeży opiera się na fakcie, że istnieje ściśle określona granica między wewnętrzną/zaufaną i zewnętrzną/niezaufaną siecią. Jest to tradycyjna konfiguracja, sięgająca korzeniami czasów, kiedy sieć i centrum danych znajdowały się w jednym budynku. W takim przypadku router łączy sieć wewnętrzną z zewnętrzną. Do kontroli ruchu przechodzącego przez ten router wystarczy podstawowa konfiguracja listy kontroli dostępu (access control list – ACL).

Można też zwiększyć poziom bezpieczeństwa na obwodzie przez dodanie zapór sieciowych oraz systemów IDS i IPS.  Więcej informacji na ich temat znajduje się na stronie poświęconej środkom bezpieczeństwa sieci.

Szyfrowanie

Szyfrowanie umożliwia ukrycie wrażliwych danych i komunikacji przed niepowołanymi oczami. Za pomocą szyfrowania można chronić pliki na dysku twardym, sesje bankowe, dane przechowywane w chmurze, wrażliwe wiadomości e-mail oraz wiele innych zasobów. Kryptografia umożliwia weryfikację integralności danych i uwierzytelnianie źródła danych. 

Szyfrowanie zalicza się do dwóch podstawowych rodzajów kryptografii: symetrycznej i asymetrycznej. 

  • Kryptografia symetryczna wykorzystuje jeden klucz do szyfrowania i deszyfrowania, co oznacza, że trzeba go komuś przekazać, aby nawiązać z nim zaszyfrowaną komunikację. Do popularnych algorytmów tego typu należą Advanced Encryption Standard (AES), Blowfish, Triple-DES (Data Encryption Standard) i wiele innych.
  • W kryptografii asymetrycznej wykorzystuje się dwa różne klucze, jeden publiczny, a drugi prywatny, które stanowią dopasowany zestaw. Należy on do jednego użytkownika lub do jednej usługi, np. serwera sieciowego. Jeden klucz służy do szyfrowania, a drugi do deszyfrowania. 
  • Jeśli dane zostaną zaszyfrowane za pomocą klucza publicznego, stają się poufne, ponieważ rozszyfrować je może tylko ten, kto posiada klucz prywatny.
  • Jeśli dane zostaną zaszyfrowane za pomocą klucza prywatnego, to można dowieść autentyczności źródła. Kiedy daje się je rozszyfrować przy pomocy klucza publicznego, to znaczy, że musiały być zaszyfrowane kluczem prywatnym. Klucz publiczny jest naprawdę publiczny, czyli dostępny dla każdego.

 

Jest jeszcze wyznaczanie skrótów. Choć nie jest to metoda szyfrowania, powinno zostać opisane właśnie w tym miejscu. Algorytm wyznaczania skrótów pobiera wiadomość i oblicza wartość zwaną skrótem (ang. hash) na podstawie stanowiących jej treść bitów. Bity mogą reprezentować dane, dźwięk lub wideo. Proces wyznaczania skrótów w żaden sposób nie zmienia wartości danych. Dla porównania, szyfrowanie zmienia dane do nieczytelnej postaci. 

Wyznaczanie wartości skrótu dostarcza dowodu, że bity wiadomości pozostały niezmienione, a więc pozwala się upewnić co do ich integralności i niezmienności formatu. Tylko wyznaczanie wartości skrótu chroni przed przypadkową modyfikacją danych.

Kiedy skrót zostaje zaszyfrowany przy użyciu prywatnego klucza asymetrycznego, stanowi to dowód, że żaden haker nie zmodyfikował treści. Wprowadzenie szkodliwych zmian jest niemożliwe bez znajomości klucza prywatnego.

Jeśli klucz nie został ujawniony, to można mieć pewność, że skrót został obliczony przez osobę, która jest w posiadaniu klucza prywatnego. Może to być klucz asymetryczny, który czasami nazywa się kluczem prywatnym lub asymetrycznym kluczem prywatnym.

Bezpieczeństwo sieci bezprzewodowej

Ochrona danych oraz materiałów dźwiękowych i wideo przesyłanych przez sieć bezprzewodową jest trudna. Transmisja bezprzewodowa polega na emitowaniu sygnału, który znajdujący się w zasięgu haker może z łatwością przechwycić. Istnieją standardy szyfrowania dla sieci bezprzewodowych, ale większość z nich została już w taki czy inny sposób złamana.

Te standardy to WEP, WPA, WPA2 oraz WPA3.

  • Standard Wired Equivalent Privacy (WEP) wykorzystuje symetryczny algorytm RC4 do szyfrowania danych przesyłanych drogą bezprzewodową. Hakerzy szybko go złamali i nawet stworzyli służące do tego celu poręczne narzędzie o nazwie WEP crack.
  • Następcą standardu WEP był Wi-Fi Protected Access (WPA), który także wykorzystuje algorytm RC4. Hakerzy zmodyfikowali narzędzie WEP crack, aby łamać także WPA.
  • WPA2 to druga wersja WPA, która zapewnia dwie opcje.
    • WPA2-personal wykorzystuje wcześniej udostępniony klucz, który czasami jest nazywany kluczem bezpieczeństwa. Jest to hasło, które wpisuje się w urządzeniu bezprzewodowym, na przykład laptopie czy telefonie i bezprzewodowym punkcie dostępowym (WAP). Pierwszą lukę hakerzy znaleźli w 2017 r. Nadano jej nazwę  Key Reinstallation AttaCK (KRACK).
    • WPA2-enterprise wykorzystuje dodatkową warstwę zabezpieczeń w postaci usługi zdalnego uwierzytelniania użytkowników, którzy wdzwaniają się do systemu (centralized remote authentication dial-in user service – RADIUS). Ponadto używa protokołu EAP (Extensible Authentication Protocol) do przekazywania danych uwierzytelniania przez lokalne połączenie bezprzewodowe. Połączenie warstwy RADIUS i protokołu bezpieczeństwa EAP nazywa się IEEE 802.1x.
Schemat szyfrowanego połączenia
  • WPA3 także występuje w dwóch wariantach.
    • WPA3-personal daje użytkownikom wyższy poziom ochrony dzięki wykorzystaniu 128-bitowego klucza szyfrowania. Taki sposób uwierzytelniania hasłem daje bardzo dobre efekty nawet, gdy użytkownicy używają zbyt prostych haseł. Jest to możliwe dzięki wykorzystaniu przez WPA3-personal metody SAE (Simultaneous Authentication of Equals) zamiast wstępnie udostępnianego klucza, jak jest w przypadku WPA2-personal.   
    • WPA3-enterprise[SM2] [TA(3] [SM4]  używa 192-bitowego klucza szyfrowania dla większego bezpieczeństwa. Stanowi ulepszoną wersję WPA2, która konsekwentnie stosuje protokoły bezpieczeństwa w całej sieci organizacji.  

Certyfikaty bezpieczeństwa

Bezpieczeństwo sieci to skomplikowany temat. To niekończąca się wojna na spryt z hakerami. Więcej informacji znajduje się na stronie poświęconej środkom bezpieczeństwa sieci.

Zawsze dobrze jest mieć certyfikaty bezpieczeństwa. Na początek świetnym wyborem jest CompTIA Security+ lub System Security Certified Practitioner ((ISC)SSCP). Bardziej zaawansowany certyfikat wymagający odrobinę wiedzy technicznej to Certified Information System Security Professional ((ISC)CISSP). Dodatkowo można podejść do egzaminów dla dostawców, na przykład egzaminów ze znajomości usług chmurowych AWS, GCP lub Azure.

Powiązane artykuły