Środki do zapewniania bezpieczeństwa sieci to narzędzia i technologie, takie jak zapory sieciowe i systemy zapobiegania włamaniom (IPS), które stosuje się w sieciach w celu zabezpieczenia przechowywanych lub przesyłanych danych oraz materiałów audio i wideo.
Środki do zabezpieczania bezpieczeństwa sieci to narzędzia dodawane do sieci w celu ochrony poufności, integralności i dostępności. Nieustannie się one zmieniają, ale istnieje zasób podstawowej wiedzy, która jest dostępna od ręki. Aby utrzymać hakerów z dala od swojej sieci, trzeba się napracować. Pomagają w tym zapory sieciowe, zapory proxy i bramy sieciowe.
Nie można jednak zakładać, że te urządzenia wystarczą, aby zapewnić pełne bezpieczeństwo. Hakerzy w końcu znajdą jakąś drogę. Znany haker Kevin Mitnick chwali się 100% skutecznością swoich testów penetracyjnych sieci, które przeprowadził w wynajmujących go firmach.
Zawsze jest jakieś wejście. Dbanie o bezpieczeństwo to nieustanna praca polegająca na nauce, zmianach i ściganiu się z hakerami. Ponadto należy mieć gotowe plany działania i zespoły na wypadek, gdyby hakerom udało się przedrzeć.
Zapora sieciowa blokuje lub przepuszcza ruch. Rodzaj ruchu, jaki zapora przepuszcza, jest określony w jej konfiguracji na podstawie potrzeb firmy. Najlepszą praktyką konfiguracji zapory sieciowej jest domyślne zablokowanie wszelkiego ruchu, a następnie dodawanie wyjątków zezwalających na ruch pochodzący od określonych usług. Konfiguracja zapory sieciowej ma krytyczne znaczenie, dlatego wiedza jej administratora jest niezmiernie ważna.
Zapory sieciowe działają na różnych warstwach modelu OSI sformułowanego przez ISO. Większość różnego rodzaju narzędzi noszących miano zapory znajduje się na warstwach 2-5. Jeśli zapora znajduje się na warstwie 7, to jest nazywana zaporą proxy albo bramą sieciową. Wyjątkiem jest zapora aplikacji sieciowych (web application firewall – WAF), która ma w nazwie słowa zapora, a należy do warstwy 7. Zapora analizuje informacje pojawiające się na warstwie modelu OSI, na której działa.
Oto kilka przykładów działania zapory na różnych warstwach:
Konfiguracja zapory sieciowej zawiera listę reguł zwanych też zasadami. Na jej podstawie narzędzie określa, co robić z przychodzącym do niej ruchem. Reguły działają na zasadzie od góry do dołu.
To znaczy, że każdą pojawiającą się ramkę lub każdy pakiet zapora najpierw porównuje z pierwszą regułą na liście. Jeśli pasuje ona do tego typu ruchu, zapora postępuje zgodnie z odpowiednimi instrukcjami. Reguła może na przykład stanowić, że dany rodzaj ruchu trzeba przepuścić albo może nakazywać jego zablokowanie i odrzucenie.
Jeśli pakiet lub ramka nie pasują do pierwszej reguły, zapora porównuje je z drugą itd. Jeśli ruch nie pasuje do żadnej z konkretnie zdefiniowanych reguł, zapora postępuje według ostatniej, która powinna nakazywać jego odrzucenie.
Zapora sieciowa proxy rezyduje na warstwie 7 modelu OSI. Kiedy na zaporze proxy pojawia się ruch, zostaje on poddany przetwarzaniu na kolejnych warstwach. Jeśli na przykład ramka zostanie ściągnięta na warstwie 2, to nagłówki pakietu zostaną usunięte na warstwie 3 itd., aż do warstwy 7 pozostaną tylko dane.
Połączenie TLS jest zamykane na warstwie 4 i od tego momentu dane w zaporze proxy mają postać czystego tekstu. Następnie zapora proxy dokonuje analizy przesyłanych danych, co byłoby niemożliwe na niższych poziomach z powodu szyfrowania. To umożliwia urządzeniu analizowanie znacznie większej ilości danych niż standardowej zaporze. Wprawdzie wymaga to większej ilości czasu lub mocy obliczeniowej, ale z drugiej strony daje większą kontrolę nad ruchem użytkowników.
Pojęcie brama ma różne znaczenia w zależności od tego, z kim się rozmawia. W tradycyjnym znaczeniu jest to urządzenie znajdujące się między dwiema sieciami. Dziś przeciętna brama zawiera także zaporę sieciową. Na przykład Microsoft Azure ma wbudowaną zaporę WAF w swoją bramę. W związku z tym obecnie o bramie można powiedzieć, że jest rodzajem zapory sieciowej.
Kolejną kwestią jest wykrywanie włamań do sieci za pomocą systemów wykrywania włamań (IDS). Urządzenia do tego służące są pasywne, tzn. monitorują przepływający ruch i zapisują podejrzane elementy w dzienniku. System IDS może znajdować się w sieci lub na urządzeniu końcowym. W zależności od umiejscowienia nosi nazwę sieciowego IDS (NIDS) lub hostowego IDS (HIDS).
System NIDS jest zazwyczaj połączony z portem tap lub span przełącznika. Oznacza to, że ruch jest przekazywany do celu bez przeszkód, a jego kopia zostaje wysłana do portu span urządzenia NIDS w celu przeprowadzenia analizy. W przypadku HIDS, jest on przechowywany na laptopie, tablecie, serwerze itd. Większość systemów HIDS nie analizuje ruchu na żywo, tylko dzienniki ruchu już po fakcie.
W pewnym momencie producenci udoskonalili te urządzenia. Stwierdzili, że skoro wykrywają ataki, to zamiast tylko o tym informować, mogłyby od razu usuwać podejrzane ramki lub pakiety. Tak powstały systemy zapobiegania włamaniom (IPS). Te także występują w wersji sieciowej (NIPS) i hostowej (HIPS).
Pomysł był znakomity, ale jest jeden haczyk. IPS musi umieć odróżnić dobry ruch od złego. Można mu w tym pomóc za pomocą plików sygnatur lub umożliwiając mu uczenie się.
Kolejną kwestią jest ochrona danych oraz materiałów audio i wideo przed podsłuchaniem w trakcie przesyłania. Podsłuch może być prowadzony zarówno w sieci firmowej, jak i domowej, a także poza nimi, np. przez Internet lub w sieci dostawcy usług.
Rozwiązaniem tego problemu jest szyfrowanie, które uniemożliwia odczyt danych bez specjalnego klucza. Istnieje kilka technologii umożliwiających szyfrowanie transmisji danych. Oto one:
Protokół SSL/TLS powstał w 1995 roku w celu ochrony połączeń z przeglądarką internetową. Protokół SSL został wynaleziony przez firmę Netscape. Jego wersje 2.0 i 3.0 były używane dopóki nie został przejęty przez organizację Internet Engineering Task Force (IETF), która zmieniła jego nazwę. Miało to miejsce w 1999 roku, kiedy America Online (AOL) kupiła Netscape. Obecnie najnowsza wersja to TLS 1.3 (RFC 8446). Protokół TLS jest używany nie tylko do ochrony połączeń z przeglądarką internetową. Służy także do zabezpieczania połączeń użytkowników z biurem przez sieć VPN.
SSL/TLS to protokół warstwy transportowej, który do połączeń z przeglądarką wykorzystuje port TCP 443.
SSH to metoda szyfrowania najczęściej używana do obsługi logowania zdalnego. Korzystają z niej administratorzy sieci, którzy z jej pomocą mogą zdalnie logować się do takich urządzeń, jak routery i przełączniki. Generalnie SSH uważa się za następcę Telnetu, który jest nieszyfrowanym protokołem zdalnego logowania warstwy 7, choć może być także używany do nawiązywania połączeń VPN. Specyfikację protokołu SSH opisuje dokument IETF RFC 4253. Wykorzystuje on port TCP 22.
IPsec to protokół warstwy sieciowej zapewniający funkcje szyfrowania i kontroli integralności w każdym rodzaju połączenia. Specyfikacja techniczna protokołu IPsec obejmuje wiele różnych dokumentów IETF RFC, z których każdy opisuje jakąś jego część. Dokument RFC 6071 zawiera plan wyjaśniający wzajemne powiązania między tymi dokumentami.
IPsec obejmuje dwa protokoły bezpieczeństwa: Authentication Header (AH) i Encapsulating Security Payload (ESP).
Ochrona własności intelektualnej wciąż stanowi problem. Obejmuje ona instrukcje, procesy, dokumenty projektowe, dane badawcze i rozwojowe itd. Do rozwiązania są dwa problemy. Pierwszy to kontrola nad dystrybucją poufnych informacji, a drugi – zapewnienie, aby mogły je obejrzeć tylko te osoby, dla których są przeznaczone. Nad dostępem do danych pieczę można sprawować przez zastosowanie mechanizmów klasyfikacji i kontroli dostępu.
W razie obaw, że z firmy mogą wyciekać informacje, można skorzystać z technologii zapobiegania wyciekom danych (DLP). Monitoruje ona przepływ danych, np. w wiadomościach e-mail i przesyłanych plikach, pod kątem obecności wrażliwych informacji.
Jeśli program DLP wykryje takie dane, np. numer karty kredytowej, to natychmiast blokuje transmisję. Ewentualnie może je zaszyfrować, jeśli takie rozwiązanie będzie lepsze. Kwestia w tym, co firma chce kontrolować oraz w tym, jaka powinna być reakcja sieci na wykrycie danych przez oprogramowanie DLP.
Technologia DRM kontroluje dostęp do własności intelektualnej. Miał z nią do czynienia każdy, kto kiedykolwiek korzystał z oprogramowania Kindle, iTunes, Spotify, Netfliksa lub Amazon Prime Video. Umożliwia ono oglądanie filmów, czytanie książek lub słuchanie muzyki po wykupieniu usługi u dostawcy. Przykładem ze świata biznesu są podręczniki udostępniane przez Cisco klientom, którzy wykupili lekcje.
Inne przykłady rozwiązań DRM wykorzystywanych przez firmy do kontroli dystrybucji treści to Javelin i LockLizard Technologia DRM wykorzystuje technikę kontroli dostępu, która określa, ile czasu użytkownik może korzystać z danej treści, czy może ją wydrukować, czy może ją udostępniać itd. Wszystko zależy od potrzeb właściciela praw intelektualnych.
Do najważniejszych środków bezpieczeństwa, z jakich może korzystać firma, należą wykrywanie problemów z bezpieczeństwem i ich usuwanie. Pierwszym krokiem jest rozpoczęcie rejestracji danych w dziennikach. Wszystkie systemy znajdujące się w sieci lub do niej podłączone powinny generować dzienniki.
Firma sama decyduje, co konkretnie chce w nich zapisywać. Mogą to być próby logowania, przepływy ruchu, pakiety, podejmowanie działania, a nawet wszystkie naciśnięcia klawiszy przez użytkownika. Decyzja dotycząca tego, co rejestrować w dziennikach, powinna zostać podjęta na podstawie poziomu ryzyka, jakie firma jest w stanie zaakceptować, wrażliwości zasobów oraz luk w zabezpieczeniach systemów.
Wszystkie poniższe systemy powinny generować dzienniki:
Systemy znajdujące się w sieci
Systemy podłączone do sieci
To oznacza, że ilość zarejestrowanych zdarzeń będzie ogromna. Aby wyciągnąć jakiekolwiek informacje z tych danych, dzienniki, które są także ścieżkami rewizyjnymi, należy przesłać do centralnego systemu, takiego jak na przykład serwer dzienników systemowych. Na takim serwerze są one poddawane analizie przez system zarządzania zdarzeniami bezpieczeństwa (SIEM).
SIEM to narzędzie, które analizuje dzienniki ze wszystkich systemów i dokonuje korelacji zdarzeń. Wyszukuje wskaźniki infekcji (IOC). Wskaźnik infekcji nie zawsze jednoznacznie wskazuje na to, że doszło do określonego zdarzenia i dlatego każdy przypadek musi zostać przeanalizowany przez człowieka. W tym momencie do akcji wkraczają centrum operacji bezpieczeństwa (SOC) i zespół ds. reagowania na incydenty (IRT), które decydują o następnych krokach.