LAN pod kluczem

Podłączenie sieci lokalnej do Internetu umożliwia dostęp do zbiorów światowej Sieci. Nasze zasoby są jednak przez to narażone na penetrację z zewnątrz. Do najczęstszych metod inwigilacji LAN-u należy przede wszystkim skanowanie portów (zwykle czynność ta poprzedza atak na uruchomione usługi). Innym problemem jest też tzw. podsłuchiwanie. Informacje, które wysyłamy z komputera, mogą wtedy trafić w niepowołane ręce. Jeśli więc korzystamy z usług bazujących na przesyłaniu tekstu otwartego (FTP, POP3, SMTP), ktoś może poznać np. nasze hasło do skrzynki pocztowej (patrz: $(LC141500:List żelazny)$). Udostępniając pliki w sieci lokalnej, wskazujemy folder, do którego po pewnym czasie mogą trafić np. dokumenty z danymi osobowymi. Narażamy się tym samym na utratę prywatności. Pobierając jakąś aplikację z niepewnej witryny, musimy się też liczyć z tym, że program okaże się koniem trojańskim (pamiętajmy w takim wypadku o sprawdzeniu sumy kontrolnej danej aplikacji). W końcu, będąc podpiętymi do Sieci, jesteśmy również narażeni na ataki zombie – jednego z setek tysięcy komputerów, które już są zarażone, a teraz poszukują innych podatnych na infekcję stacji.
archiwum
21.10.2005|Przeczytasz w 5 minut

Zabezpieczenia sieci

Oprogramowanie, które może nam pomóc w utrzymaniu bezpieczeństwa sieci lokalnej, dzielimy na dwie grupy: IPS (Intrusion Prevention System) – systemy zapobiegania włamaniom – i IDS (Intrusion Detection System) – systemy detekcji włamań. Podział ten jest nieco sztuczny, gdyż wiele aplikacji łączy w sobie obie funkcje i obecnie łatwiej znaleźć systemy oferujące kompleksową ochronę niż dające się przypisać sztywno do jednej z tych grup.

Jednym z najważniejszych elementów ochrony każdej sieci jest dobrze skonfigurowana zapora ogniowa – firewall. To program (bądź wyspecjalizowane urządzenie) filtrujący ruch i przepuszczający jedynie te rodzaje pakietów, na które zezwolimy. Zawsze dobrze jest być “schowanym” za sprzętowym firewallem bądź za modemem lub routerem z funkcją firewalla. We wszystkich urządzeniach tego typu możemy określić numery portów, na które są wysyłane pakiety trafiające do naszej sieci. Dzięki temu nawet jeśli na którymś komputerze mamy działającą usługę na danym porcie, a firewall nie przepuszcza pakietów kierowanych na ten port, to nikt z zewnątrz nie dowie się o tym, że ten port jest akurat otwarty.

Brama ochronna

W skład struktury naszej sieci może wchodzić standardowy modem DSL połączony z komputerem. Ten ostatni pełni rolę bramy, przez którą przechodzi cały ruch pakietów. Brama jest najbardziej narażona na ataki, gdyż pozostaje ona “widoczna” z zewnątrz. Najlepiej, aby sieć projektować tak, żeby była to maszyna, na której nie pracujemy na co dzień (np. nie wysyłamy z niej wiadomości e-mail). Zmniejszy to ryzyko zarażenia jej np. wirusami rozsyłanymi pocztą elektroniczną. Dobrą i tanią metodą jest w tym wypadku wykorzystanie starego peceta (patrz: $(LC150957:Sztuka wyboru)$). Jeśli zdecydujemy się wykorzystać ten pomysł, dobrze byłoby, gdyby maszyna, przez którą przechodzą wszystkie pakiety, pełniła też inne funkcje ochronne. Możemy np. uruchomić pośrednictwo w przekazywaniu poczty (fetchmail, serwer POP3, filtr antywirusowy i antyspamowy), dzięki czemu znacznie zwiększymy bezpieczeństwo pozostałych komputerów. Nie zapominajmy też o skonfigurowaniu firewalla. Oprócz zwiększenia poziomu bezpieczeństwa możemy również pomyśleć o potencjalnym przyspieszeniu surfowania dzięki wykorzystaniu serwera proxy.

Sprzętowy firewall

Inną, o wiele wygodniejszą metodą może być użycie sprzętowego routera z wbudowanym firewallem. Wymaga to jedynie zastąpienia dostarczanego nam przez operatora zwykłego modemu przez technologię trochę bardziej zaawansowaną technicznie. Związane jest to oczywiście z poniesieniem dodatkowych kosztów (ceny najtańszych urządzeń zaczynają się od około 150 złotych), jednakże ten wydatek znacząco podniesie ergonomię zarządzania siecią. Modem lub router z funkcją firwalla pozwala w wygodny sposób kontrolować bezpieczeństwo sieci. Dzięki ścisłemu przeznaczeniu i aktualizowaniu jego oprogramowania zyskujemy bardzo skuteczną ochronę.

Bez kabla

O ile jesteśmy w stanie dość łatwo zapewnić bezpieczeństwo tradycyjnej sieci kablowej, o tyle korzystanie z urządzenia bezprzewodowych wymaga od nas dodatkowych zabiegów. Oprócz potencjalnych zagrożeń związanych z Internetem dochodzi jeszcze niebezpieczeństwo wewnętrzne. Mając sieć kablową, możemy dokładnie określić, jakie zagrożenia będą płynęły z zewnątrz, a na jakie jesteśmy narażeni ze stacji pracującej w sieci. W wypadku sieci radiowej tracimy nad tym kontrolę – do LAN-u może się “przyłączyć” np. ktoś z budynku naprzeciwko. Aby utrudnić nieautoryzowane podłączenie się do sieci, należy wykonać trzy proste kroki:

  • ukryć SSID sieci – osoba podłączająca się będzie musiała zgadywać jej nazwę,
  • włączyć szyfrowanie – co najmniej: 128 WEP lub WPA – dzięki temu transmisja pakietów wewnątrz sieci będzie trudna do podejrzenia (ale niestety wciąż możliwa),
  • włączyć kontrolę MAC – każde urządzenie sieciowe ma tzw. numer MAC, odpowiednik znanego ze świata telefonów komórkowych numeru IMEI. Możemy tak skonfigurować sieć, aby dopuścić do niej jedynie te urządzenia, które znamy (patrz: $(LC151029:Możesz to zrobić sam!)$).

Rodzaje zagrożeń w sieci lokalnej
AtakMetoda zabezpieczenia
Skanowanie sieci z InternetuCentralny firewall nieodpowiadający na pingi, z pozamykanymi portami (dotyczy serwera lub bramy).
Konie trojańskieIntrusion Prevention System (IPS) oraz program antywirusowy.
PodsłuchKorzystanie z szyfrowanych połączeń – bezpiecznych protokołów: POP3S, SMTPS, SFTP, SSH i HTTPS.
WirusySkaner antywirusowy, nieotwieranie załączników w e-mailach od nieznanych nadawców. Stałe aktualizowanie systemu i aplikacji.
Kradzież udostępnionych plikówDobra konfiguracja udostępniania – nadanie odpowiednich praw użytkownikom (odczyt/zapis/modyfikacja). W pełni świadome udostępnianie.
Więcej:bezcatnews
UdostępnijTwitter