NEXT 6/2009 - 8 krytycznych miejsc w sieci

Każda sieć LAN ma słabe punkty. W artykule wskazujemy, które jej elementy są szczególnie wrażliwe i podpowiadamy, co należy zrobić, by była bezpieczna. [Maciej Koziński]

Sieć jest warta tyle, ile warte są przechowywane i przetwarzane w niej dane. Utrata, przekłamanie lub kradzież informacji czy niemożność ich przetwarzania w celach zarobkowych to najpoważniejsze zagrożenia. Tracąc dane, nie masz możliwości wyekstrahowania z nich informacji. Kradzież dostarcza ważnych danych twojemu konkurentowi biznesowemu lub przestępcy. Awaria może cię pozbawić możliwości przetwarzania informacji, co może mieć niebagatelne znaczenie przy sprzedaży w internecie lub pisaniu pracy magisterskiej. Utrata poczty elektronicznej oznacza brak kontaktu z klientami oraz dostępu do spraw wewnątrzfirmowych. Jak tego uniknąć? Należy starannie zaplanować budowę infrastruktury IT w kilku ważnych dla bezpieczeństwa obszarach.

1. Bezpieczeństwo fizyczne

Omawiając poszczególne aspekty bezpieczeństwa sieci, często pomija się kluczowe dla niego zagadnienie, czyli zabezpieczenie sprzętu przed dostępem osób niepowołanych.

Fizyczny dostęp do sieci lokalnej daje wiele możliwości: obejście zabezpieczeń bramy internetowej (firewalla), możliwość zastosowania hakerskich trików w warstwie łącza danych, czyli np. MAC flooding, ARP poisoning czy – na nieco wyższym poziomie – DHCP spoofing – technik przechwytywania ruchu (man-in-the-middle) lub unieruchamiania usług (DoS), nie wspominając już o dostępie do konsoli urządzeń sieciowych.

Na bezpieczeństwo fizyczne składa się usytuowanie punktów koncentracji i serwerowni oraz kontrola dostępu do nich. Ze względu na bezpieczeństwo oraz rozprowadzone okablowanie powinny one się znajdować w centralnych częściach budynku, mieć zabezpieczone (okratowane) okna, być wyposażone w czujniki ruchu oraz monitoring. Lista osób mająca fizyczny dostęp do serwerowni powinna być ograniczona do personelu IT.

Wydzielenie osobnego pomieszczenia może stanowić problem dla niedużej firmy. W takiej sytuacji warto zaopatrzyć się w szafę serwerową z niezbędną infrastrukturą (zasilanie, klimatyzacja) z zabezpieczeniem dostępu i umieścić ją w pomieszczeniu administratorów, jednocześnie ograniczając dostęp do samego pomieszczenia. W przypadku rozciągnięcia sieci powyżej zasięgu Ethernetu (więcej niż 100 m) niezbędne jest stworzenie osobnych punktów koncentracji, nierzadko z jednym tylko przełącznikiem. Dobrym rozwiązaniem jest wówczas osobna, zamykana szafka, zainstalowana we wnęce czy ciągu kablowym w publicznym, monitorowanym miejscu.

Fizyczny dostęp do urządzeń sieciowych to także gniazdka sieci w pokojach pracowników. Należy zadbać o to, by nie podłączać do sieci nieautoryzowanych komputerów, np. poprzez sztywne lub dynamiczne, ale ograniczone (do 1–2 adresów) przypisanie adresów MAC do poszczególnych portów przełącznika. Ważne są również zabezpieczenia w topologii logicznej – stworzenie wirtualnych sieci lokalnych (VLAN) pozwala odseparować ruch pochodzący od użytkowników o różnym poziomie uprzywilejowania (serwery, pracownicy biurowi, top management, administratorzy, goście) i kontrolować go mechanizmami bezpieczeństwa (zapora, system zapobiegania włamaniom, antywirus), a także ograniczyć domenę rozgłoszeniową, obciążającą zarówno sieć, jak i urządzenia końcowe.

Im większa sieć, tym bardziej opłaca się zakup nadmiarowych przełączników i wydzielenie z nich dodatkowej warstwy połączeń. Topologia taka – proponowana prze Cisco Systems – umożliwia stworzenie nadmiarowych połączeń pomiędzy poszczególnymi przełącznikami odpowiedzialnymi za dostęp urządzeń (warstwa access), a także balansować obciążeniem sieci (osobne trasy dla poszczególnych VLAN-ów) i agregować połączenia.

2. Niezawodne urządzenia

Jak wiadomo, jakość urządzeń sieciowych i serwerów ma wpływ na bezpieczeństwo danych. Niestety, chęć dokonania oszczędności na krytycznych (i wcale nietanich) instalacjach jest ogromna. Warto jednak pomyśleć o lepszych zarządzanych przełącznikach i markowych serwerach. Te pierwsze oferują mechanizmy umożliwiające tworzenie łączy nadmiarowych i zabezpieczeń przed włamaniami na poziomie warstwy łącza danych. W przypadku przełączników dostępowych należy sprawdzić, czy oferują one zasilanie przez Ethernet (Power over Ethernet – PoE) np. do telefonów IP czy kamer internetowych. Jeśli chodzi o switche warstw wyższych (distribution, core), których nawet kilkuminutowy przestój może przynieść straty, należy brać pod uwagę zakup urządzeń wyposażonych w dwa zasilacze i możliwość ich wymiany w locie (hotswap).

Jeśli chodzi o serwery, warto brać pod uwagę produkty markowych producentów, mających znacznie lepsze laboratoria, doświadczenie w projektowaniu i testowaniu jakości od składaczy. Należy pamiętać o tym, że koszty zastosowania w tak newralgicznym miejscu urządzenia o większej awaryjności będą widoczne w całej firmie. W przypadku dużych, markowych dostawców w cenę sprzętu najczęściej wliczona jest kilkuletnia gwarancja z programem wsparcia i krótkim czasem reakcji na zgłoszone usterki.

Podobnie jak switche agregujące ruch, najważniejsze serwery powinny mieć zdublowane zasilacze. Możliwe jest wtedy podłączenie ich do dwóch UPS-ów zasilanych z dwóch niezależnych linii, a także wymiana w locie. Serwer powinien mieć możliwość skonfigurowania zainstalowanych dysków jako macierzy dyskowej (można także zrealizować macierz programową). Wówczas nawet awaria dysku zawierającego system operacyjny nie spowoduje długotrwałego przestoju.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Firmowa sieć LAN zawsze bezpieczna »
  pełne wersje
• Bezpieczna sieć w firmie »
  raport: IT w MSP siec LAN
• W firmowej sieci LAN »
  raport: IT w MSP firmowa sieć LAN
• WiFi z prądem »
  RUTER ZYXEL
• Bez limitów »
  Usługa Backup Online Bezpieczna Kopia