Agora
Media
Libraria Byblos



AgoraNews  





PC Magazine Ro  




NET Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuții   




Cartea de oaspeți   




Mesaje   





Agora   








Clic aici
PC Report - ultimul numar aparut


Cover Story - PC Magazine Romania, Aprilie  2002
La realizarea acestui grupaj au colaborat:
Iulian Radu, administrator de sistem, și specialiști ai firmelor Best Internet Security, Data Network Associates, GeCAD Software, Romsym Data, S&T România, Softwin.
Coordonator PC Magazine: Mihaela Cârstea.

Securitatea ca mod de viață


Piața securității TI: prezent și perspective
Soluții de securitate
Sunteți în siguranță? Cum puteți afla?
Panaceum universal sau soluții de securitate personalizate?
Siguranța afacerilor online
Asigurarea confidențialității mesajelor
Symantec & Cypherix
Familia de produse BitDefender

O pledoarie pentru necesitatea realizării unei foarte bune securități a rețelelor de calculatoare și a calculatoarelor independente este astăzi inutilă. Dacă există manageri care nu sunt convinși de acest lucru este numai vina administratorilor de rețea din organizațiile respective. Orice argument de genul "nouă nu ni se poate întâmpla" reprezintă o manifestare inconștientă ce s-ar putea să fie scump plătită. Bugetul alocat securizării trebuie să fie pe măsura importanței datelor. Există destui care consideră că informațiile pe care le au nu sunt importante sau că accesând internetul doar folosind metoda de dial-up (apelarea unui ISP prin intermediul unei linii telefonice obișnuite) nu sunt vulnerabili. O analiză atentă va arăta însă contrariul. De exemplu, pentru nici o firmă nu este acceptabilă pierderea datelor legate de contabilitate.

Atacurile hackerilor se pot îndrepta unitar asupra unui obiectiv, care poate fi un simplu calculator legat la internet prin dial-up sau o rețea a armatei, a guvernului, a unei organizații strategice. Dacă PC-ul atacat este al unei persoane cu grad mare de acces la resursele rețelei firmei în care lucrează, compromiterea acestui calculator poate conduce la compromiterea întregii rețele. Cine va suporta pierderile și implicațiile penale? În cazul în care rețeaua firmei dumneavoastră este folosită pentru a ataca altă rețea, spre cine vor arăta cu degetul cei agresați? Cine va suporta pagubele și implicațiile penale? Hackerii sunt maeștrii ai camuflării, folosindu-se adesea de identitatea altora. Și chiar dacă sunt depistați, măsurile care se pot lua împotriva lor sunt foarte limitate datorită dificultăților de probare a vinovăției lor. Dacă hackerul se află în altă țară, puteți chiar să constatați că ISP-ul prin care s-a conectat el la internet nu vă va susține în încercarea de a depista identitatea atacatorului. Oare ISP-urile din România sunt capabile să furnizeze date despre astfel de persoane dacă sunt depistate? Ar fi neplăcut ca o instituție de stat să fie atacată, iar împotriva atacatorului să nu se poată face nimic. Când vor apărea legi care să ne protejeze?

O ÎNCERCARE DE DEFINIȚIE
Securitatea, raportată la rețelele de calculatoare și la calculatoarele independente, înseamnă:

  • o bună funcționare a echipamentelor TI
  • protecția datelor aflate în echipamentele TI împotriva: stricării în mod voit, ștergerii, modificării, expunerii lor unor persoane neautorizate
  • prevenirea întâmplărilor neplăcute
  • detectarea scanării propriei rețele de către persoane din afară pentru a descoperi punctele ei vulnerabile
  • instruirea utilizatorilor despre metodele de obținere de către persoane neautorizate a informațiilor confidențiale folosind inginerie socială
  • metode de protecție împotriva atacurilor DOS (asigurarea continuării funcționării serviciilor)
  • prevenirea folosirii serviciilor proprii de către persoane neautorizate
  • prevenirea instalării de căi de acces la sisteme pentru persoane neautorizate.

Pe scurt, prevenirea tuturor acțiunilor care pot produce prejudicii morale sau bănești.

Atacurile nu apar numai de la persoane aflate în afara rețelei. Ele pot apărea și de la angajați care nu folosesc corespunzător echipamentele și aplicațiile software, sau sunt nemulțumiți, sau persoane care s-au angajat în cadrul organizației special pentru a avea acces la datele acesteia (pentru a le fura, altera sau distruge) sau pentru a crea porți de acces neautorizat pentru ei sau pentru alte persoane.

MODELUL DE SECURITATE AL UNEI ORGANIZAȚII
Modelul de securitate al unei organizații trebuie ales de conducerea acesteia împreună cu administratorul rețelei, ținând cont de următoarele criterii:

  • fluxul documentelor electronice și structura organizatorică pe departamente (eventual sucursale)
  • servicii care vor fi oferite publicului
  • servicii care vor fi oferite angajaților
  • nivele de acces la date și resurse ale fiecărui angajat (inclusiv acces în afara rețelei organizației)
  • categoriile de date care vor circula și vor fi stocate în rețea
  • bugetul alocat pentru realizarea securității.

Fluxul documentelor electronice și structura organizatorică pe departamente (eventual sucursale). Plecând de la fluxul documentelor electronice și structura organizatorică pe departamente (eventual sucursale) trebuie gândită structura fizică a rețelei (împreună cu tot ce ține de aceasta: structura de transmitere a datelor, echipamente, sisteme de operare, aplicații software) și implementarea securității. Este posibil ca rețeaua să fie în final una de tip eterogen, de aceea trebuie gândită foarte bine colaborarea între facilitățile de securitate puse la dispoziție de diferitele echipamente, sisteme de operare și aplicații folosite, iar în cazul unui VPN (Virtual Private Network - rețea privată folosind transmisii securizate prin intermediul internetului) de facilitățile de securitate puse la dispoziție de ISP-urile implicate în susținerea VPN-ului.

Este indicat ca fiecare unitate logică să fie transpusă și la nivel de rețea prin implementarea de subrețele, urmând ca traficul dintre aceste subrețele să fie urmărit permanent în căutarea de probleme. Conectarea unităților logice se va face prin gateway-uri pe care vor rula aplicații de securitate. Rolul acestor aplicații este să detecteze orice anomalie (de exemplu: un flux mare de mesaje electronice cu același subiect, care indică o posibilă virusare, sau scanare a datelor pentru detectarea de viruși sau alte aplicații "toxice", detecția de scanări ale rețelei pentru aflarea de puncte vulnerabile, aplicarea de filtre pentru implementarea politicilor de acces la date și resurse ale angajaților etc.). Deși aceste aplicații vor introduce o anumită întârziere în transferul de date, ea nu va fi semnificativă, poate nici măcar sesizabilă, în schimb va permite eliminarea rapidă a problemelor sau măcar detecția în scurt timp a unor posibile probleme. Astfel, dacă o unitate logică a fost coruptă, detecția și oprirea (sau încetarea) coruperii celorlalte unități logice se poate face mult mai ușor decât în lipsa unui astfel de model de securitate. Implementarea acestui model de securitate presupune costuri adiacente pentru achiziționarea și utilizarea gateway-urilor și este o soluție intranet (în sensul că se ocupă doar cu securitatea datelor care circulă în cadrul rețelei interne, mai bine spus între subrețelele interne).

Trebuie ținut cont că, de multe ori, datele care circulă în cadrul unui departament nu trebuie să fie disponibile altor departamente. De aceea, folosirea unui model de securitate bazat pe intragateways permite un control mai strict al modelului de securitate definit pentru firmă. De asemenea, trebuie securizate și transferurile de date din cadrul organizației (cum ar fi de exemplu mesajele transmise prin intermediul mesageriei electronice care trebuie protejate prin folosirea de chei publice sau alt sistem de protecție a datelor).

Servicii care vor fi oferite publicului. A devenit astăzi o necesitate pentru firme să dispună de cel puțin un sit web propriu. Situl destinat accesului public, împreună cu celelalte servicii oferite în mod public, trebuie să fie găzduite pe servere dedicate. Întotdeauna, transferul de date va fi dinspre intranet (rețeaua internă a firmei) spre extranet (partea de rețea a firmei în care sunt găzduite severele dedicate serviciilor oferite în mod public). Cu siguranță că există și excepții, dar acestea trebuie tratate cu foarte mare atenție.

Servicii care vor fi oferite angajaților. Studiile făcute au arătat că existența unor situri de web și ftp în cadrul organizațiilor, la care să aibă acces angajații, conduce la mărirea productivității lor. De asemenea, existența acestor situri mărește gradul de securitate al rețelei dacă singurele persoane care pot pune date pe aceste situri sunt persoane de încredere ce respectă politicile de securitate ale firmei.

Este de multe ori de neacceptat ca angajații să aibă acces la servicii de genul IRC sau ICQ, deoarece astfel hackerii pot pătrunde în rețea fără a putea fi depistați de către administratorii rețelei sau pot transmite informații secrete unor persoane din afară, deși politica de securitate a firmei interzice aceasta. Deoarece astfel de aplicații software permit rularea de scripturi, sunt un pericol mare de compromitere a securității rețelei.

Trebuie luat în considerare și faptul că anumite persoane din cadrul firmei își pot continua munca acasă sau în alte locuri decât sediile companiei și există și posibilitatea necesității accesului de la distanță la unele resurse ale rețelei a acestor persoane. Compromiterea calculatorului folosit pentru lucru în afara organizației poate conduce în final la compromiterea unei părți sau chiar a întregii rețele a organizației la care lucrează persoana respectivă. De aceea, trebuie avută foarte multă grijă la realizarea modelului de securitate, cine și cum va putea introduce date generate extern în rețeaua respectivă.

Nivele de acces la date și resurse ale fiecărui angajat (inclusiv accese în afara rețelei organizației). Nu orice informație din cadrul rețelei trebuie să fie disponibilă oricui, după cum bine s-a văzut atunci când am discutat despre fluxul documentelor între departamente. Trebuie limitat accesul angajaților la servicii externe. O politică de securitate care interzice angajaților accesul din cadrul rețelei proprii la anumite servicii externe rețelei pe durata programului, dar nu și în afara lui, creează o breșă de securitate.

De multe ori, conducătorii unei firme vor să aibă acces la servicii externe rețelei proprii, servicii interzise celorlalți angajați. Și probabil că de fiecare dată când se întâmplă așa, administratorii de rețea sunt puși într-o situație dificilă. Nu trebuie uitat că hackerii nu fac nici o diferențiere, și nici nu au cum să o facă, între calculatorul care aparține unui manager și cel al unui simplu angajat, iar dacă PC-ul vulnerabil este cel al directorului, să-l lase în pace.

Ei atacă acolo unde, cum și când pot. De aceea, este bine ca pentru persoanele care "trebuie" să aibă astfel de facilități să se creeze o subrețea specială, iar măsurile de securitate să fie deosebite pentru a preîntimpina activ orice încercare voită sau nu de compromitere a rețelei organizației.

Categoriile de date care vor circula și vor fi stocate în rețea. Din modelul de securitate face parte și definirea categoriilor de date care sunt admise să circule și să fie stocate în cadrul rețelei. Fiecărei categorii de date i se va atribui și un grad de securitate care practic va defini cine și în ce condiții are acces la ele și ce operații poate efectua cu ele (doar citire, modificare).

În funcție de categoriile de date se vor alege și politicile de salvare pe suporturi externe (backup) a datelor în vederea unei recuperări cât mai complete a lor, dacă apar defecțiuni ale sistemelor sau au loc atacuri reușite care au condus la compromiterea datelor (au fost șterse sau alterate).

Bugetul alocat pentru realizarea securității. De asemenea, trebuie făcută o analiză a pierderilor suferite în cazul compromiterii unui segment de rețea, precum și planul de acțiune în cazurile unor atacuri reușite sau nu (cum trebuie acționat, cine trebuie informat, prin ce metode).

Este posibil ca datorită unui buget sub necesarul real, buget destinat realizării securității datelor aflate în rețea, să trebuiască redefinit întreg modelul de securitate, urmând ca după aceea să fie "corectat" când sunt bani. Dar această variantă nu este deloc acceptabilă din punctul de vedere al implementării unui model de securitate eficient. Trebuie ținut cont că în domeniul securității, a face ceva mâine poate însemna a fi prea târziu.

PUNCTUL DE VEDERE AL UNUI ADMINISTRATOR
Criteriile prezentate anterior, care trebuie luate în calcul la realizarea modelului de securitate a rețelei unei firme, nu trebuie luate ad-literam. Ele reprezintă viziunea mea personală, bazată pe experiența acumulată ca administrator de rețele, despre cum trebuie gândit și implementat un model de securitate sănătos.

Securitatea este doar atât de bună pe cât utilizatorii sunt dispuși să urmeze regulile de securitate. Utilizatorii vor doar să-și vadă treaba făcută. Administratorii vor să țină problemele în afara sistemelor lor. Managerii organizațiilor vor să țină secrete datele acestora.

Cele mai mari probleme de securitate le produc utilizatorii care își scriu parolele sau le furnizează altora, folosesc aplicații software prost scrise sau scrise în scopuri negative.

Pentru administrator, singurul sfat care poate fi dat este acesta: utilizatorii vor urma doar regulile pe care tu le stabilești. Este treaba administratorului să treacă dincolo de obligațiile de serviciu și să îmbunătățească securitatea sistemelor, iar în același timp să lupte împotriva "dragonilor" care încearcă să pătrundă în sistem pe ușa din dos.

Trebuie spus că firmele pot apela și la companii specializate în realizarea de modele de securizare a datelor sau chiar experți specializați în acest domeniu. Dar astfel apare o problemă. Vor fi capabili administratorii rețelei să pună în aplicare și să mențină funcțional 100% planul astfel elaborat? Cum se vor descurca în fața unei situații care nu a fost luată în calcul în momentul realizării modelului de securitate? De aici se poate trage o singură concluzie: organizațiile trebuie să investească bani în pregătirea propriilor administratori de rețea pentru a putea preîntâmpina un dezastru, ce le poate fi fatal. - Iulian Radu

 


PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2002 Agora Media.

[email protected]

LG - LifeŽs Good

www.agora.ro

deltafri

www.agora.ro

www.agora.ro

www.agora.ro