Niezawodność sieci
Często jednym z najistotniejszych elementów zabezpieczeń sieci jest zapewnienie nieprzerwanej jej pracy. W zależności od sposobu wykorzystywania struktury sieciowej przyjmowane są różne definicje zapewnienia ciągłości pracy sieci dla jednych akceptowalna będzie nawet kilkugodzinna przerwa w pracy, dla innych 5 minut to znacznie za długo.
Uwzględniając swoje własne kryteria ciągłości pracy należy przewidzieć stosowanie zapasowych elementów sieci. Dotyczy to przede wszystkim nadmiarowości mediów transmisyjnych (zarówno w sieciach LAN, jak i WAN) oraz urządzeń aktywnych sieci (routery, switche, huby, itp.).
Nadmiarowość łączy w sieciach rozległych realizowana jest zależnie od typu stosowanych linii poprzez zapewnienie co najmniej kilku możliwych dróg transmisji pomiędzy każdymi dwoma punktami sieci. Wybór drogi odbywa się automatycznie w oparciu o oprogramowanie urządzeń aktywnych sieci (routerów, switchy). Jeżeli nie są wykorzystywane połączenia punkt-punkt, ale publiczne sieci wielodostępne (x.25, Frame Relay, ATM) można bazować na pewnej nadmiarowości połączeń zapewnianej przez operatora sieci publicznej. W takiej sytuacji stosowanie ewentualnych dodatkowych łączy zapasowych powinno bazować na połączeniach pochodzących od innego operatora. Obsługa połączeń zapasowych zarówno podczas awarii jak i w celu zrównoleglenia ich z łączami podstawowymi może być oparta o specjalne funkcje oprogramowania urządzeń aktywnych bądź protokół dynamicznego routingu (np. OSPF, RIP, EIGRP, BGP, IS-IS).
Nadmiarowość routerów łączących sieci LAN z siecią WAN wymaga zadecydowania w jaki sposób stacje robocze pracujące w sieci LAN będą wybierały poprzez który z zainstalowanych routerów mają być wysyłane pakiety do sieci WAN. Istnieje kilka możliwości automatycznej obsługi takiej sytuacji, np.: Hot Standby Routing Protocol (HSRP), Router Discovery Protocol (RDP), routing dynamiczny. HSRP polega na tym, że dwa routery przyłączone do jednej sieci LAN skonfigurowane są tak, by widoczny był dla komputerów w tym segmencie logiczny (nieistniejący fizycznie) jeden router o konkretnym adresie IP. Stacje użytkowników konfigurowane są tak, że jako default gateway pokazywany jest właśnie ten logiczny router; natomiast decyzja poprzez który z fizycznie przyłaczonych routerów pakiety będą wysyłane podejmowana jest poprzez routery w sposób niewidoczny dla stacji użytkownika.
RDP bazuje na fakcie, że stacje użytkowników potrafią znaleźć adres działającego routera. W przypadku poprawnej pracy obydwu routerów pakiety będą wysyłane poprzez ten router, który odpowie jako pierwszy. RDP ma jednak poważną wadę w stosunku do HSRP wymaga czynnego uczestnictwa stacji użytkownika w całym procesie, co oznacza, że protokół RDP musi być zaimplementowany w oprogramowaniu stacji.
Stacje użytkowników mogą również czynnie uczestniczyć w routingu dynamicznym, co jednak wymaga zaimplementowania w oprogramowaniu stacji odpowiedzniego protokołu (np. RIP, OSPF).
Ochrona przed niepowołanym dostępem do sieci LAN
W przypadku korzystania z sieci publicznych do łączenia sieci LAN nie można wykluczyć prób uzyskania dostępu do sieci lokalnych przez nieuprawnionych użytkowników. Jednak całkowite odcięcie sieci lokalnej od sieci publicznej pozbawiałoby strukturę sieci podstawowej funkcjonalności. W praktyce oznacza to konieczność spełnienia pozornie sprzecznych założeń: zapewnienie dostępu do sieci lokalnej (poprzez sieć publiczną) użytkownikom uprawnionym i jednocześnie niedopuszczenie do wejścia do sieci lokalnej innych użytkowników tej samej sieci publicznej. W sytuacjach takich pojawia się konieczność skonfigurowania firewalla czyli rozbudowanego mechanizmu filtrowania wchodzącego i wychodzącego ruchu na styku sieci LAN i WAN. Poprawnie zaprojektowany firewall to nie jest jedno urządzenie, czy pakiet oprogramowania jest to raczej zespół współpracujących ze sobą elementów sprzętowych i programowych zapewniających funkcje filtrowania ruchu, weryfikacji połączeń, rejestrowania zdarzeń i alarmowania w przypadku stwierdzenia próby naruszenia prywatności sieci.
Mechanizmy filtrowania ruchu mogą być realizowane poprzez funkcje oprogramowania routerów, komputerów, jak również specjalizowane rozwiązania sprzętowo-programowe. Filtrowanie takie może się opierać na kombinacjach wielu różnych kryteriów: adresów komputerów źródłowych i docelowych (w sensie warstwy II i III modelu OSI), typach usług (np.: ftp, telnet, http, SMTP), a także kierunku zestawiania połączenia.
Dodatkowo można zastosować odpowiedni skonfigurowany (na routerze lub specjalizowanym urządzeniu) mechanizm Network Address Translation (NAT). Polega on na dynamicznym tłumaczeniu prywatnych adresów IP na oficjalnie przyznane. Sam NAT nie służy bezpośrednio do zabezpieczania dostępu do sieci, jednak w wielu implementacjach można go tak skonfigurować, by realizował translację adresów jedynie dla sesji zestawianych z sieci lokalnej do sieci rozległej próby zestawienia jakichkolwiek sesji w kierunku przeciwnym nie zostaną zrealizowane. Oczywiście musi być możliwość skonfigurowania pewnych wyjątków od tej zasady chociażby wpuszczanie poczty przychodzącej z zewnątrz.
Dodatkowe aspekty konfiguracji firewalla pojawiają się w momencie, kiedy pojawia się potrzeba chronienia zasobów sieci lokalnej i równocześnie trzeba wystawić serwer usług publicznych (np. serwer WWW). W sytuacji takiej proponuje się zwykle rozdzielenie sieci lokalnej na dwie części: tzw. sieć zdemilitaryzowaną (zawierającą serwery usług publicznych) oraz sieć prywatną. Zaprojektowania wymagają w takiej konfiguracji dwa zestawy filtrów i innych zabezpieczeń: na styku sieci WAN ze strefą zdemilitaryzowaną; oraz na styku strefy zdemilitaryzowanej z siecią prywatną.
Kontrola dostępu do sieci poprzez łącza komutowane
Bardzo często pojawia się potrzeba realizacji zdalnego dostępu do sieci LAN poprzez łącza komutowane (analogowe lub ISDN). Jest to szczególnie istotne dla osób podróżujących służbowo, które z praktycznie dowolnego miejsca potrzebują dostępu do zasobów sieci. Równocześnie jest to bardzo duże zagrożenie dla prywatności danych znajdujących się na komputerach w sieci lokalnej.
Skuteczna ochrona dla tego typu połączeń musi bazować na implementacji trzech mechanizmów: legalizacji połączeń, autoryzacji użytkowników i rejestrowania zdarzeń. < align=justify> Legalizacja polega na jednoznacznym i wiarygodnym stwierdzeniu tożsamości osoby, która uzyskała połączenie z serwerem dostępowym do sieci. Funkcja ta wspomagana jest wieloma mechanizmami od klasycznych haseł do inteligentnych kart identyfikacyjnych i oprogramowania obsługującego je. Kolejnym elementem legalizacji może być wymuszenie oddzwaniania (call-back) po zestawieniu połączenia i ustaleniu tożsamości użytkownika, sesja jest automatycznie zrywana i router dzwoni na konkretny numer telefonu skojarzony z danym użytkownikiem. W ten sposób uzyskujemy pewność, że dany użytkownik zestawiał połączenie ze swojego numeru telefonu.
Autoryzacja użytkownika następuje bezpośrednio po legalizacji. Polega ona na przyznaniu konkretnemu użytkownikowi precyzyjnych przywilejów do korzystania z sieci lokalnej. W ten sposób zyskuje się możliwość elastycznego konfigurowania pozwoleń opartych o adresy komputerów, z którymi wolno użytkownikom zestawiać sesje; godziny, w których mogą pracować zdalnie; aplikacje, które mogą uruchamiać; itp.
Rejestrowanie wszelkiej aktywności na połączeniach komutowanych ma na celu umożliwienie administratorowi wychwycenie prób włamania do sieci, przekroczenia przywilejów, itp.
Istotne jest także to, by tożsamość użytkownika była stwierdzana jak najwcześniej: czyli na serwerze dostępowym (routerze), a nie dopiero na serwerach usług (komputerach) w sieci lokalnej. Oznacza to konieczność implementowania legalizacji, jak również pozostałych elementów zabezpieczenia, w oprogramowaniu routerów. Oczywiście na routerze jako urządzeniu najbardziej wystawionym w sieć WAN nie powinna być przechowywana baza użytkowników, haseł i autoryzacji dlatego poprzez specjalne protokoły (np. TACACS+) realizowana jest komunikacja pomiędzy serwerem dostępowym, a serwerm wewnątrz sieci lokalnej przechowującym te bazy.
Ochrona prywatności i spójności przesyłanych danych
W celu zapewnienia poufności przesyłanych danych wykorzystywane są mechanizmy szyfrowania ich. Pierwsze pytanie przy wyborze rozwiązania szyfrującego transmisje powinno dotyczyć warstwy (w sensie modelu OSI), w której szyfrowanie ma być realizowane.
Szyfrowanie w warstwie połączeń daje całkowitą niezależność od typu wykorzystywanych protokołów warst wyższych (w tym aplikacji). Jednak jest silnie zależne od typu sieci (X.25, Frame Relay, itp.). Dla takiej realizacji szyfrowania trzeba myśleć o niezależnych szyfratorach dla łączy podstawowych i zapasowych.
Szyfrowanie w warstwie sieciowej jest natomiast niezależne z jednej strony od typu sieci (X.25, Frame Relay, itp.), z drugiej strony od wykorzystywanych aplikacji. Jest natomiast silnie zależne od typu protokołów w warstwie trzeciej (IP, IPX, itp.). Dla tak zaimplementowanego szyfrowania nie ma przeważnie konieczności interesowania się strukturą łączy podstawowych i zapasowych.
Szyfrowanie w warstwie aplikacji jest całkowicie niezależne od typu sieci i protokołów w niej wykorzystywanych. Wymaga natomiast implementowania w każdej aplikacji, której dane mają być szyfrowane.
Istotnym parametrem rozwiązań szyfrujących jest algorytm stosowany do enkrypcji. Najczęściej stosowane algorytmy to DES56, TrippleDES, IDEA.
Wybierając rozwiązanie szyfrowania należy także zwrócić uwagę na stosowane mechanizmy wymiany kluczy publicznych, ponieważ w znaczny sposób może to wpływać na łatwość konfiguracji i administracji produktami.
Należy także uwzględnić pewne uwarunkowania proceduralne, np. konieczność kompetencyjnego i organizacyjnego rozdzielenia zarządzania aplikacją, zarządzania siecią oraz zarządzania systemem bezpieczeństwa. W przypadku implementacji szyfrowania w aplikacji, przeważnie niemożliwe jest rozdzielenie administracji oprogramowaniem od administracji systemem zabezpieczeń. Podona sytuacja wystąpi przy implementacji szyfrowania w routerach tym razem niemożliwe będzie rozdzielenie zarządzania systemem zabezpieczeń od zarządzania siecią.
Spójność przesyłanych danych weryfikowana może być o mechanizmy podpisu elektronicznego do każdej wiadomości dołączany jest ciąg znaków umożliwiający odbiorcy wiadomości jednoznaczne stwierdzenie, czy pochodzi ona od podpisanego nadawcy; a także stwierdzenie, czy nie została zmodyfikowana od momentu nadania do otrzymania. Podpis elektroniczny zapewnia także niezaprzeczalność, czyli możliwość udowodnienia nadawcy faktu wysłania konkretnej wiadomości.
Kontrola dostępu do danych w sieciach LAN
Zarówno dla sieci budowanych w oparciu o repeatery jak też o switche lub bridge wspólną cechą jest przesyłanie pakietów do ich odbiorców bez możliwości sprawdzania kto jest nadawcą pakietu oraz jakie dane (jakie protokoły) przesyłane są w jego wnętrzu. Rezultatem tej cechy jest możliwość dostępu do wszystkich zasobów (serwerów oraz świadczonych przez nich usług) zlokalizowanych w sieci LAN co uniemożliwia konstruowanie mechanizmów ochrony danych i usług. Usługi dostępne w sieciach są zwykle dedykowane dla konkretnych użytkowników. Dla wdrożenia mechanizmów ochrony danych konieczna jest dostępność środków technicznych - jednym z nich jest możliwość kontrolowania adresów nadawców oraz odbiorców pakietów jak też identyfikacji usług sieciowych w poszczególnych pakietach. Ani repeatery ani bridge bądź switche takich możliwości niestety nie dają.
Wiele instytucji posiadających infrastrukturę sieci LAN stawia wymaganie podziału użytkowników pracujących w tych sieciach na grupy stosownie do zakresu ich obowiązków, zajmowanego stanowiska, działu w jakim są zatrudnieni etc. Jednym z efektów wprowadzenia takiego podziału jest podniesienie bezpieczeństwa zasobów - wybrane usługi są dostępne jedynie dla członków danej grupy. Spełnienie wymogu podziału użytkowników na grupy w przypadku klasycznych struktur sieci LAN jest możliwe przez rekonfigurację fizycznej struktury okablowania. Dla sieci zbudowanych na tzw. okablowaniu strukturalnym każdy z komputerów podłączony jest swoim indywidualnym przewodem (najczęściej skrętką 4-parową) prowadzącą do punktów zbiorczych okablowania (tzw. paneli krosujących) gdzie dokonuje się połączeń poszczególnych komputerów ze sobą w sieci LAN poprzez repeatery lub switche. Dla tego typu sieci rekonfiguracje polegają na zmianie układu połączeń na panelach krosujących - tworzone są w ten sposób niezależne sieci LAN grupujące użytkowników poszczególnych zespołów. Zmiany struktury okablowania, łatwe do wykonania w incydentalnych przypadkach, stają się uciążliwe w sieciach o dużej dynamice zmian, dużej ilości urządzeń oraz użytkownikach często zmieniających przynależność do określonych grup (czasami nazywanych grupami roboczymi i kojarzonych z konkretną siecią LAN).
Koncepcja sieci wirtualnych pozwala na definiowanie postaci struktury sieci LAN w sposób programowy przez zmianę konfiguracji oprogramowania switchy, bez konieczności ingerencji w strukturę fizycznych połączeń.
Podsumowanie
Faktyczne zabezpieczenie sieci teleinformatycznej musi być oparte o wnikliwą analizę wymagań funkcjonalnych i wartość oraz ważność przesyłanych danych. Wynikiem tej analizy powinno być opracowanie założeń polityki bezpieczeństwa. Dopiero te założenia powinny, poprzez opracowanie szczegółowego projektu technicznego, zostać przełożone na dobór urządzeń i oprogramowania zapewniających wymagany poziom bezpieczeństwa sieci. Z założeń polityki bezpieczeństwa powinny także wyniknąć parametry konfiguracyjne zabezpieczeń oraz procedury organizacyjne do realizacji stworzonych założeń. SOLIDEX jest firmą zajmującą się projektowaniem i wdrażaniem sieci teleinformatycznych od 7 lat. W swojej pracy specjaliści SOLIDEX często stają przed zadaniem współtworzenia założeń polityki bezpieczeństwa oraz doboru urządzeń, oprogramowania; i wdrożenia zaprojektowanego systemu. Rozwiązania, na których oparte są projekty zabezpieczeń realizowane przez SOLIDEX bazują najczęściej na produktach firm Cisco Systems, Cylink Inc., oraz Sun Microsystems.