Zarządzanie ryzykiem

Aktualizacje i antywirusy

Ciągłość procesów biznesowych

Ochrona danych osobowych

Czym są dane osobowe

Prawo do informacji

Jakie warunki musimy spełnić

Kto musi rejestrować zbiory

Legalność oprogramowania

Kontrola legalności

Zarządzanie oprogramowaniem

Typy licencji

Bezpieczeństwo sieci

Wprowadzenie

Ocena bezpieczeństwa

Podstawowe elementy

Ochrona informacji

Audyty IT

Dlaczego audyt legalności

Audyt bezpieczeństwa IT

Dokumentacja i procedury

Podstawy polityki bezpieczeństwa informacji w firmie

Co powinna uwzględniać polityka bezpieczeństwa

Cyberslacking

Cyberslacing - nowy problem

Symulowanie pracy

Szkodliwość dla firm

Identyfikacja i zwalczanie

Aktualności

2012-05-15
Atak na użytkowników Allegro — rzekome zwiększanie bezpieczeństwa
Więcej >>

2012-04-11
386 zarzutów i 150 nielegalnych programów to bilans jednego zatrzymania w Chełmży
Więcej >>

2012-03-27
Znamy laureatów Konkursu Bezpieczny eSklep 2012
Więcej >>

2012-02-22
Materiał video z webinarium Ochrona danych osobowych na YouTube
Więcej >>

2012-01-25
Webinaria - szkolenia internetowe
Więcej >>

2012-01-17
Axence nVision
Więcej >>

2012-01-02
Nowe przepisy a ochrona danych osobowych.
Więcej >>

2011-11-29
Polscy menedżerowie to nieświadomi piraci?
Więcej >>

archiwum wiadomości

Bezpieczeństwo sieci

Wprowadzenie

Bezpieczeństwo sieci to pojęcie obejmujące zarówno bezpieczeństwo informacji krążących pomiędzy węzłami tej sieci, jak i tych zgromadzonych w bazach danych dostępnych za pośrednictwem sieci.

Szerokie zastosowanie technik internetowych wprowadza nie znane wcześniej zagrożenia bezpieczeństwa systemów informatycznych: włamania do systemów, wirusy, spamming, blokowanie działania itp. Wzrasta więc znaczenie ochrony danych i uwierzytelniania obiektów krążących w sieci. Włamania do systemów informatycznych przynoszą znaczne straty finansowe i często utratę zaufania do instytucji, której powierzono poufne informacje. Środki ochrony, zmniejszające ryzyko uzyskania dostępu do danych przez osoby nieupoważnione, można ogólnie podzielić na dwie kategorie:

ograniczenie dostępu do zasobów systemu zgodnie z ustaloną polityką ochronną organizacji,
kodowanie informacji (utajnianie) za pomocą metod kryptograficznych.

Podstawowe pojęcia z zakresu ochrony danych to: atak na bezpieczeństwo danych, mechanizm zabezpieczający i usługa ochrony danych.

Ataki mogą być przeprowadzane w sposób aktywny lub pasywny. Atak pasywny polega na podsłuchiwaniu (szeroko pojętym) i monitorowaniu przesyłanych informacji. Celem ataku pasywnego może być dążenie do ujawnienia treści wiadomości lub uzyskanie informacji o samym ruchu informacji. Atak aktywny dąży do modyfikowania strumienia informacji lub tworzenia fałszywych informacji. W działaniach tych mieszczą się: podszywanie się pod osobę uprawnioną i blokowanie działania (denial of service).

Usługi ochrony danych zapewniają uzyskanie pewnych gwarancji w zakresie wiarygodności systemu komputerowego:

poufność – ochrona przed atakiem pasywnym,
uwierzytelnienie - zapewnienie autentyczności informacji i osób: zagwarantowanie, że informacja pochodzi z takiego źródła, które jest przy niej wymieniane lub też osoba jest tą, za którą się podaje,
nienaruszalność – zapewnienie integralności komunikacji, tzn. tego, że informacja jest odbierana w takiej postaci, w jakiej została wysłana,
niezaprzeczalność – niemożliwość zaprzeczenia faktowi wysłania lub odebrania informacji,
kontrola dostępu – możliwość kontrolowania dostępu do informacji (systemów) drogą identyfikacji i uwierzytelniania,
dyspozycyjność – ograniczanie skutków ataku w sferze dostępności informacji.

Mechanizmy zabezpieczające obejmują następujące działania:

szyfrowanie informacji,
uwierzytelnianie informacji (podpisy cyfrowe),
ochrona antywirusowa,
identyfikacja i uwierzytelnianie osób uprawnionych.

Źródło:itpedia.pl

Ocena bezpieczeństwa

W miarę rozbudowy sieci wzrasta również prawdopodobieństwo pojawienia się w niej większej liczby błędów oprogramowania i luk w systemie ochrony. Ocena stanu zabezpieczeń systemu komputerowego pracującego w sieci pozwala na identyfikację jego słabych punktów. Do tego celu są wykorzystywane odpowiednie narzędzia, zwane Vulnerability Assessment (VA).

Podstawą rzeczywistego bezpieczeństwa informacji w każdym środowisku informatycznym jest strategia zabezpieczeń, w której zachowano równowagę między ryzykiem i kosztami. Strategia taka powinna być skoncentrowana wokół zapewnienia spójności, dostępności i poufności danych. Jednak zdefiniowanie, wdrożenie i kontrolowanie skutecznej strategii w dużych, wieloplatformowych środowiskach, obejmujących całe przedsiębiorstwo, jest zadaniem niezwykle złożonym i pracochłonnym.

W wielu organizacjach wystarcza ustanowienie dobrych reguł polityki bezpieczeństwa, polegających na określeniu, co w zakresie dostępu i operacji jest dozwolone, a co nie. Polityka taka realizowana jest zazwyczaj poprzez zapory ogniowe. Należy je jednak precyzyjnie skonfigurować, a to wymaga dokładnej wiedzy, co hipotetyczny haker może osiągnąć oraz jaki obszar swobody dopuszczony przez zapory ogniowe jest bezpieczny. Źle skonfigurowana zapora ogniowa może być bardziej niebezpieczna niż jej brak, ponieważ daje złudne poczucie bezpieczeństwa. Zatem do pełnego zabezpieczenia sieci niezbędne jest regularne jej sprawdzanie w aspekcie bezpieczeństwa. Do tego celu służy właśnie oprogramowanie Vulnerability Assessment, a programy tej kategorii nazywane są często skanerami do wyszukiwania luk w systemach komputerowych.

Skanowanie typu VA to kontrolowanie wszystkich potencjalnych luk wykorzystywanych przez hakerów do odwiedzania systemów komputerowych. Analizując typ oprogramowania i jego ustawienia konfiguracyjne w danej sieci, skanery mogą określić, czy poszczególne typy ataków są w niej możliwe.

Produkty tej kategorii oprogramowania nazywane są także produktami oceny ryzyka (risk assessment) i dzielą się na dwa rodzaje:

skanery pasywne,
skanery aktywne.

Skanery pasywne

zwane też skanerami hostowymi, pozwalają zazwyczaj na definiowanie reguł polityki ochrony maszyn pracujących w sieci (reguły te mogą być odmienne w przypadku poszczególnych urządzeń). Sprawdzają każdą maszynę automatycznie, tworząc raporty szczegółowo określające odchylenia od przyjętych ustawień konfiguracyjnych związanych z bezpieczeństwem oraz działania, jakie w związku z tym należy podjąć. Skanery hostowe identyfikują słabe punkty na poziomie systemowym w takich obszarach, jak uprawnienia do plików, właściwości kont użytkowników czy ustawienia rejestrów. Wymagają zazwyczaj rozmieszczenia modułów agentów w systemach działających w sieci. Moduły przekazują informacje do centralnej bazy danych, z której użytkownik może generować odpowiednie raporty. Wiele tego typu rozwiązań integruje się z systemami zarządzania w sposób pozwalający na modyfikowanie reguł polityki zarządzania w kontekście bezpieczeństwa i wspomagający prawidłowe konfigurowanie maszyn w sieci. Skaner hostowy zajmuje się badaniem aktualnego stanu systemu operacyjnego i wykrywaniem słabych punktów, naruszeń integralności oraz śladów nieautoryzowanego działania.

W działaniu opiera się na modułach agentów rozmieszczonych na poszczególnych komputerach (serwerach i stacjach roboczych) sieci, komunikujących się zazwyczaj z centralną konsolą zarządzania. Uzupełnia działania skanera sieciowego, skupiającego się na zabezpieczeniach sieci i jej usług. Zakres badań obejmuje:

integralność systemu;
wykrywanie działań nieautoryzowanych;
sprawdzanie konfiguracji i bezpieczeństwa systemu;
sprawdzanie bezpieczeństwa usług sieciowych;
sprawdzanie bezpieczeństwa środowiska pracy użytkownika.

Porównywany jest aktualny stan systemu operacyjnego z aktualizowaną bazą stanu wiedzy o jego słabych punktach. Badane są niezainstalowane łatki, łatwe hasła, nieodpowiednie uprawnienia użytkowników, konfiguracje istotnych usług i nietypowa aktywność, sugerująca możliwość penetracji systemu.

Stan konfiguracji określonego systemu operacyjnego pamiętany jest często w formie zabezpieczonej podpisem cyfrowym. Pozwala to na śledzenie stanu systemu w sposób automatyczny, z natychmiastowym informowaniem administratora o wykrytych nieprawidłowościach.

System łamania haseł pozwala na zweryfikowanie skuteczności przyjętego sposobu tworzenia haseł. Rozwiązania maja często możliwość automatycznego generowania skryptów korygujących nieodpowiednie uprawnienia dostępu do systemu plików. Tworzone są raporty ułatwiające usunięcie wykrytych nieprawidłowości, a aktualne odnośniki do łatek systemowych upraszczają zainstalowanie zalecanych łatek bezpieczeństwa.

Skanery aktywne

Skanery aktywne, zwane też sieciowymi, są swego rodzaju „hakerami na uwięzi”. Zawierają mechanizmy symulowania pewnych znanych typów ataków (np. DoS), za pomocą których administrator może sondować odporność zasobów sieciowych na te ataki. Sondując sieć skanerem sieciowym, administrator może często uzyskać wyraśny obraz potencjalnych luk w systemie, a także wskazówki, jak je uszczelnić. Niektóre z tych systemów wykonują wielokrotne przebiegi sondujące w sieci, używając informacji zgromadzonych we wcześniejszych przebiegach do wzmocnienia ataków w kolejnych próbach.

Skanery sieciowe przede wszystkim identyfikują problemy związane z usługami dostępnymi w sieci, takimi jak HTTP, FTP czy SMTP. Nadają się najlepiej do rozpoznawania systemów pracujących w sieci, usług w nich funkcjonujących i słabych punktów tych usług. Zazwyczaj nie dostarczają szczegółowej informacji i nie kontrolują specyficznych systemów tak szczegółowo, jak skanery hostowe, zapewniają natomiast dokładniejszą informację o usługach i sieci. Ponadto nie wymagają instalowania agentów na wszystkich maszynach w sieci, co jest konieczne w przypadku systemów hostowych.

Skaner sieciowy zapewnia zautomatyzowane wykrywanie luk w systemach oraz analizę stanu urządzeń funkcjonujących w sieci. W skład rozwiązań wchodzi zazwyczaj moduł wykonawczy testów sieciowych, przeprowadzanych w celu identyfikacji urządzeń i potencjalnych luk. Udostępniane jest też repozytorium informacji o plikach i słabych punktach, wynikach skanowania oraz innych danych używanych przez skaner.

Umiejscowienie skanera w sieci ma istotny wpływ na wyniki skanowania. Szczególne znaczenie mają relacje pomiędzy skanerem i zaporą ogniową. Skanowanie sieci spoza linii ochrony zapór ogniowych może ujawniać nieszczelności właśnie na tych zaporach. Takie skanowanie może zapewniać wartościowe informacje o efektywności ustawień konfiguracyjnych na zaporach ogniowych, ale z drugiej strony nie tworzy znaczącej oceny wewnętrznej kondycji ochronnej sieci. Skanowanie sieci z lokalizacji wewnątrz obszaru chronionego przez zapory ogniowe (sieć i skaner są z tej samej strony zapory) ujawnia wrażliwość sieci na wewnętrzne zagrożenia i nadużycia.

Mechanizm sztucznej inteligencji pozwala na objęcie przez program roli hakera czy też analityka systemów bezpieczeństwa.

Słabe punkty sieci i oprogramowania objawiają się w dwóch podstawowych formach: znane i dotychczas nieopisane. Znane słabe punkty to te, które zostały zidentyfikowane i wyizolowane przy użyciu skanowania ochrony. W następstwie tego są publikowane ostrzeżenia dla użytkowników. Nieszczelności nieznane to takie, które nie zostały do tej pory wykryte ani publicznie potwierdzone, co czyni je szczególnie niebezpiecznymi. Mechanizm sztucznej inteligencji pozwala na wykrywanie nie tylko znanych nieszczelności systemów, ale także na wyszukiwanie nieznanych luk w systemach. Zazwyczaj wykonuje się audyt dla następujących systemów i usług:

NetBios;
HTTP, CGI;
FTP;
DNS;
słabych punktów wykorzystywanych przez ataki DoS;
POP, SMTP i LDAP;
TCP/IP i UDP;
rejestrów;
usług;
kont użytkowników;
słabych stron systemu haseł;
serwerów baz danych;
zapór ogniowych i ruterów;
serwerów proxy.

Mechanizm opierający się na technikach sztucznej inteligencji zapewnia symulację działań hipotetycznego hakera czy też analityka do spraw bezpieczeństwa, w celu wynajdywania luk w sieci i pakietach oprogramowania. Aplikacja czy też sieć mogą mieć luki dotychczas nierozpoznane. Program potrafi dostosowywać „sposób myślenia” symulowanego hakera czy analityka do potencjalnych luk w oprogramowaniu sieciowym.

Wykorzystywana jest technika skanowania progresywnego, która polega na symulowaniu działań napastników i wykonywaniu takich prób równolegle, a następnie korelowaniu uzyskanych z takiego skanowania danych w celu znajdowania głębiej ukrytych luk i niedociągnięć. Program „uczy się” w miarę działania, modyfikując strategię symulowanej infiltracji na podstawie uzyskanych już wyników. Skanowanie progresywne zapewnia równoległość przetwarzania prób, współużytkowanie informacji o strategii infiltracji i wynikach uzyskanych podczas skanowania oraz bardziej szczegółową ocenę wyników, pozwalającą znaleźć głębiej ukryte słabe punkty zabezpieczeń.

Analiza ścieżki przebiegu zdarzeń pozwala na dokładne odtworzenie sekwencji działań, jakie hipotetyczny intruz podjąłby w celu znalezienia lub wykorzystania luki zabezpieczeń. Sekwencja ta może być zobrazowana za pomocą funkcji analizy przebiegu.

Linia podziału pomiędzy skanerami hostowymi i sieciowymi często nie jest zbyt wyraźna. Wiele skanerów sieciowych zawiera funkcje dostępne do niedawna jedynie w systemach hostowych (mechanizm autopoprawek, analiza uprawnień w rejestrach i właściwości kont użytkowników).

Programy VA zawierają często mechanizm uszczelniania luk wykrytych w systemie. Umożliwia on automatyczne skorygowanie podstawowych elementów związanych z bezpieczeństwem systemu, takich jak ustawienia w rejestrach, uprawnienia do plików itp.

Opcjonalnym rozwiązaniem w tym obszarze są usługi online, świadczone przez wyspecjalizowanych usługodawców. Zapewniają automatyczną i kosztowo efektywną kontrolę podatności urządzeń obwodowych sieci na potencjalne ataki, a czasem nawet skanowanie systemów wewnętrznych.

W rozwiązaniach VA istotna jest możliwość szybkiego uaktualniania - do tego celu adaptowane są metody uaktualniania sygnatur produktów antywirusowych m.in. za pośrednictwem Internetu. Zarysowuje się wyraźna tendencja do stosowania automatycznych łatek tymczasowych (autofix) na wykryte nieszczelności. Skaner hostowy dysponuje w tym przypadku pewną przewagą nad skanerem sieciowym: agent rezydujący fizycznie w systemie ma bezpośredni dostęp do zasobów systemowych i może dokonać korekty.

Jedną z ważniejszych cech produktów VA jest dokładność identyfikacji słabych punktów systemu.

Źródło:itpedia.pl

Podstawowe elementy

Jeżeli zarządzasz siecią firmową, na którą składa się kilkadziesiąt komputerów, jak również kilka serwerów i urządzeń sieciowych, powinieneś zwrócić uwagę na bezpieczeństwo tej sieci. Jeśli jeszcze nie wiesz jak zapewnić długotrwałą ochronę swojej sieci - przeczytaj ten artykuł.

Dzięki bezpiecznej sieci uzyskujemy dostępność zasobów do wykonania określonych zadań oraz ochronę przed atakami pochodzącymi z zewnątrz, jak również z wnętrza sieci. Tradycyjne zabezpieczenie sieci sprowadza się do kilku specyficznych wymagań – uwierzytelniania użytkownika oraz ochrony urządzeń i aplikacji. Ruch aplikacji powinien zostać bezpiecznie dostarczony przez sieć, który przeciwstawiłby się zagrożeniom związanym z prywatnością danych.

Nie należy skupiać się wyłącznie na ochronie ruchu aplikacji, czy na ochronie infrastruktury. Aby zapewnić bezpieczeństwo całej sieci, elementy bezpieczeństwa muszą zostać wprowadzone na wszystkich płaszczyznach sieci. Warstwy bezpieczeństwa określają możliwość zabezpieczenia ruchu aplikacji w czasie transportu przez sieć. Powinny skupiać się na następujących obszarach:

Bezpieczeństwo brzegowe - chroni nasze aplikacje przed atakami z zewnątrz dzięki zaporze ogniowej oraz systemowi wykrywania intruzów.
Bezpieczeństwo infrastruktury - dodatkowa ochrona serwerów aplikacji oraz rozszerzona warstwa ochronna sprzętu sieciowego.
Bezpieczeństwo fizyczne - zabezpiecza sieć przed fizyczną modyfikacją.
Bezpieczeństwo komunikacji - poprzez wykorzystanie połączeń SSL lub sieci prywatnych wirtualnych VPN (IPSec), zapewnia integralność informacji i poufność.
Bezpieczeństwo dostępu - użytkownik wykonujący daną prace ma dostęp wyłącznie do danych i aplikacji związanych z jego pracą.
Bezpieczeństwo zasobów - urządzenie, które zapewnia zasoby i realizuje pracę nie będzie stanowiło zagrożenia dla sieci.

Stworzenie bezpiecznej sieci jest często mylnie uważane za jednorazowe zdarzenie, a tak naprawdę jest to ciągły proces, który wymaga poświęcenia mu nieco więcej czasu. Istnieją trzy główne problemy związane z realizacją tego procesu:

Zapobieganie niechcianych zdarzeń z zakresu bezpieczeństwa sieci. Oczywiste jest aktualizowanie systemu operacyjnego oraz oprogramowania antywirusowego. Ponadto konieczne jest śledzenie nowości w tej dziedzinie, które pozwalają na modernizacje naszej sieci, dzięki której jest ona bardziej bezpieczna.
Sposób wykrywania niechcianych zdarzeń. Wykrywanie zagrożeń opiera się głównie na systemach wykrywania intruzów, systemach przeznaczonych do sprawdzania dzienników, błędach konfiguracji oraz podejrzanej aktywności.
Prawidłowa reakcja na niechciane zdarzenia. Zakres przygotowań zawiera mechanizmy postępowania, które reagują na zagrożenia.

10 technik niezbędnych do realizacji przedstawionych założeń bezpiecznej sieci:

1. Warto wykorzystywać ochronę warstwową i wiele uzupełniających się rozwiązań w celu ochrony strategicznych punktów sieci.

2. Należy wprowadzić użytkowników różnych działów w proces planowania bezpieczeństwa.

3. Należy zdefiniować wyraziście strefy bezpieczeństwa i rolę użytkowników. Wykorzystać zaporę ogniową, listy kontroli dostępu i filtracji do wprowadzenia polityki dostępu do tych stref. Wymagać skomplikowanych haseł w celu zapobiegania atakom słownikowym.

4. Dobrze jest zarządzać integralnością sieci, bezpieczeństwem serwerów i klientów. System operacyjny każdego urządzenia sieciowego i elementy systemu zarządzającego powinny być chronione poprzez wyłączenie zbędnych usług. Aktualizacje powinny zostać przeprowadzone w możliwie najkrótszym okresie czasu. System operacyjny powinien być regularnie testowany na obecność wirusów.

5. Powinno się kontrolować urządzenia sieciowe oraz punkty końcowe sieci pod kątem bezpieczeństwa. Sprawdzać wszystkie typy urządzeń - zarówno przewodowe oraz bezprzewodowe.

6. Chronić sieć przesyłającą informację. Upewniając się, że wirtualne sieci LAN (VLAN) oraz inne mechanizmy bezpieczeństwa (IPSec, SNMPv3, SSH, TLS) są wykorzystywane do ochrony urządzeń sieciowych i elementów systemów zarządzających. Tylko uprawniony personel powinien mieć dostęp do tych elementów. Określić proces tworzenia kopii zapasowej konfiguracji i zaimplementować system śledzenia zmian konfiguracji.

7. Należy Chronić informację użytkowników. Komunikacja bezprzewodowa (Wi-Fi/MESH) powinna wykorzystywać VPN lub standard 802.11i z TKIP. Sieci VLAN powinny rozdzielać ruch pomiędzy oddziałami zlokalizowanymi w tych samych fizycznych sieciach oraz oddzielać poszczególnych użytkowników od gości.

8. Powinno się analizować ruch sieciowy, zagrożenia i nadużycia dla każdej strefy bezpieczeństwa z naciskiem na wewnętrzne i zewnętrzne zagrożenia.

9. Należy używać narzędzi bezpieczeństwa do ochrony krytycznych aplikacji. Wykorzystywać zaporę ogniową wspierającą nowe multimedialne aplikacje i protokoły, jak SIP i H.323.

10. Warto również zapisywać połączenia, porównywać i zarządzać bezpieczeństwem oraz informacjami z audytów i zdarzeń. Należy agregować i standaryzować informacje o powstających zagrożeniach. Pozwoli to wykryć rozproszone ataki.

Należy pamiętać, że nie istnieje jedna technologia dostosowana do zapewnienia ochrony dla każdego typu organizacji. Zależnie od potrzeb, sytuacji firmy i prowadzonej w niej sieci, bezpieczeństwo powinno być zawsze rozpatrywane indywidualnie.

LOGOWANIE

Nie jesteś zalogowany/ przypomnij hasło

Wyszukiwarka

e-mail
hasło: